Source: DataBreaches.net (24 janvier 2026). Un vendeur sur un forum de hacking affirme avoir exfiltré début décembre 1,144,223 dossiers de patients de Call-On-Doc, un prestataire de télémédecine, et met ces données en vente.
• Nature et impact de l’incident: fuite/exfiltration de données présumée touchant 1,144,223 enregistrements. Les champs incluraient: Patient Code, Transaction Number, nom, adresse, ville, état, code postal, pays, téléphone, email, catégorie médicale, condition, service/prescription, montant payé. Des pathologies sensibles (STD) sont visibles dans les captures d’écran. 📄🩺
• Éléments de preuve publiés: trois captures d’écran montrant des lignes de patients et un fichier .txt de 1 000 patients. DataBreaches indique que des vérifications ponctuelles via recherches Google confortent la vraisemblance des adresses; le vendeur accepte l’escrow, un indicateur habituel de crédibilité sur ces places de marché. L’incident reste non confirmé par Call-On-Doc.
• Réponse de l’entreprise et sécurité invoquée: Le site de Call-On-Doc annonce des mesures « à la pointe » et une conformité HIPAA, avec un EHR propriétaire. Le(s) acteur(s) affirment n’avoir trouvé aucune preuve de chiffrement et que l’attaque n’aurait pas été détectée pendant son déroulement. Les emails envoyés par DataBreaches aux adresses privacy@ et support@ sont restés sans réponse. Selon l’acteur, il a contacté l’entreprise le 25 décembre pour négocier afin d’éviter une fuite/vente; après un échange via une adresse non officielle, la discussion aurait cessé.
• Cadre réglementaire et notifications: Call-On-Doc est en modèle self-pay (pas d’assurances collectées), rendant l’applicabilité HIPAA incertaine; l’entité demeure toutefois soumise aux lois des États et à la FTC (pratiques déloyales/trompeuses en cas de promesses de sécurité non tenues). Les délais de notification rappelés: HIPAA ≤ 60 jours, et 19 États ≤ 30 jours. À la date de publication, DataBreaches n’a trouvé aucun avis public (site, médias, autorités).
• TTPs observés/rapportés:
- Exfiltration de données patients (PHI/PII) 🛑
- Tentative d’extorsion/négociation pour éviter fuite/vente
- Mise en vente sur forum avec escrow
- Absence alléguée de chiffrement et non-détection durant l’attaque
Type d’article: article d’information spécialisé relatant une fuite présumée et les questions réglementaires associées, en attente de confirmation par l’entité.