Les données médicales de dizaines de milliers de patients en psychothérapie ont été piratées

La société finlandaise Vastaamo, qui gère 25 centres de psychothérapie, a vu les données médicales de ses patients piratées. Les hackers ont déjà publié sur Tor les informations de plus de 2000 personnes, dont des mineurs. Ils réclament désormais le paiement de rançons aux victimes et à la société finlandaise. Une enquête judiciaire a été ouverte.

Partager
Les données médicales de dizaines de milliers de patients en psychothérapie ont été piratées

Les dossiers de traitement de dizaines de milliers de patients en psychothérapie en Finlande ont été piratés, révèle le média Yle.

40 000 patients seraient concernés
Ces données médicales ont été dérobées à la société Vastaamo basée à Helsinki, qui gère 25 centres de psychothérapie à travers le pays pour le compte du système de santé publique finlandais. Les hackers prétendent avoir en leur possession les données de 40 000 personnes.

Le vol remonterait à novembre 2018. Mais les choses se sont accélérées ces dernières semaines. Fin septembre, les hackers ont menacé Vastaamo de rendre publique toutes les données dérobées lors de la cyberattaque. Pour ne pas entraver l'enquête en cours, les autorités finlandaises leur avaient demandé de ne pas passer à l'action.

Une demande de rançon jusqu'à 500 euros
Mais les cyberattaquants n'ont pas pris en compte cet appel et exigent aux patients le paiement d'une rançon, jusqu'au 500 euros en bitcoin. Faute de quoi, leurs données médicales seront divulguées sur Internet donc librement accessibles.

Une première vague de publication a déjà eu lieu sur Tor, concernant au moins 2000 patients dont des mineurs. Ces données incluent le nom du patient, son numéro de téléphone, son adresse email et postale ainsi que le contenu des séances de thérapie. De son côté, Vastaamo a reçu une demande de rançon de 450 000 euros en bitcoin.

Mikko Hypponen, le Chief Research Officer de l'entreprise finlandaise spécialisée en cybersécurité, F-Secure, a réagi à cet incident sur Twitter. Il s'est étonné de l'ampleur de cette cyberattaque, qui serait "une première" en Finlande.


La société Vastaamo a reconnu des manquements
Après avoir reconnu des manquements en matière de sécurité, la société Vastaamo a assuré que la base de données était désormais sécurisée. Son PDG, que l’enquête interne accuse d’avoir été au courant des failles de sécurité pendant plusieurs mois, a été licencié quelques jours après ces révélations.

"En tant qu'entreprise qui fournit des services de psychothérapie, la confidentialité des informations clients est extrêmement importante pour nous et constitue le point de départ de toutes nos opérations. Nous regrettons profondément la fuite due au piratage", a déclaré Tuomas Kahri, président du conseil d'administration de la société dans un communiqué..

Les autorités conseillent de ne pas payer la rançon
Lundi, un site gouvernemental a été ouvert pour conseiller les victimes de la cyberattaque. Il leur est notamment recommandé de ne pas payer la rançon exigée et ne pas communiquer avec les extorqueurs. De plus, elles sont priées de se signaler auprès des autorités policières et judiciaires. Des milliers de plaintes ont déjà été déposés.

Les piratages de données patients restent rares. En 2019, une clinique de reconstruction faciale en Floride s’était fait voler les dossiers de ses patients. Les pirates menaçaient d'exposer ces informations confidentielles. Une enquête diligentée par le Cyber Crimes Center du FBI a été ouverte en début d'année.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS