Контакты
Подписка 2025
Новости
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Американская компания здравоохранения Phreesia допустила утечку данных почти миллиона сотрудников

17/12/24

Press-release-image

Компания Phreesia, специализирующаяся на решениях в сфере SaaS для здравоохранения, сообщила о масштабной утечке персональных и медицинских данных. Инцидент затронул более 910 тысяч человек и произошёл из-за взлома дочерней платформы ConnectOnCall в мае 2024 года, пишет Securitylab.

ConnectOnCall, приобретённая Phreesia в октябре 2023 года, представляет собой телемедицинский сервис и платформу для обработки звонков от пациентов в нерабочие часы с функцией автоматического отслеживания коммуникаций. По данным компании, несанкционированный доступ продолжался почти три месяца — с 16 февраля по 12 мая 2024 года.

Проблема была обнаружена 12 мая, после чего ConnectOnCall провела внутреннее расследование и приняла меры для защиты системы. В результате выяснилось, что третьи лица получили доступ к конфиденциальным данным, содержащимся в сообщениях между пациентами и медицинскими сотрудниками.

Среди утекших данных — имена, номера телефонов, даты рождения и медицинские номера пациентов. Также могла быть раскрыта информация о заболеваниях, назначенном лечении и рецептах. В небольшом числе случаев злоумышленники получили доступ к номерам социального страхования.

После выявления утечки Phreesia незамедлительно уведомила федеральные правоохранительные органы и привлекла внешних специалистов по кибербезопасности для детального анализа произошедшего. Платформа ConnectOnCall была временно отключена, а компания приступила к восстановлению работы сервиса в более защищённой среде.

Согласно заявлению, ConnectOnCall работает отдельно от других продуктов Phreesia. Компания заверила, что другие сервисы, включая платформу для приёма пациентов, не были скомпрометированы в результате взлома.

Phreesia порекомендовала пострадавшим принять меры предосторожности и сообщить о подозрительных действиях в страховые компании или финансовые учреждения. Хотя на данный момент отсутствуют доказательства неправомерного использования данных, компания призвала к повышенной бдительности.

По сведениям, предоставленным Департаменту здравоохранения и социальных служб США, инцидент затронул 914 138 человек. В Phreesia подчеркнули, что работают над скорейшим восстановлением ConnectOnCall, понимая важность сервиса для клиентов.
Темы:СШАПерсональные данныеПреступлениястрахование
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.
  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности