Η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε πρόστιμο 1,5 εκατομμυρίου ευρώ στον προμηθευτή ιατρικού λογισμικού Dedalus Biology για παραβίαση τριών άρθρων του GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων).
Η Dedalus Biology παρέχει υπηρεσίες σε χιλιάδες ιατρικά εργαστήρια στη χώρα και το πρόστιμο αφορά την έκθεση ευαίσθητων στοιχείων 491.939 ασθενών από 28 εργαστήρια.
Η βάση δεδομένων διέρρευσε στο διαδίκτυο και αποκάλυψε τα ακόλουθα στοιχεία ασθενούς:
- Πλήρες όνομα
- Αριθμός κοινωνικής ασφάλισης
- Όνομα συνταγογράφου γιατρού
- Ημερομηνία εξέτασης
- Ιατρικές πληροφορίες όπως κατάσταση HIV, καρκίνος, γενετικές ασθένειες, εγκυμοσύνες, θεραπείες κ.λπ.
- Γενετικές πληροφορίες (σε ορισμένες περιπτώσεις)
Αυτές οι πληροφορίες έχει κοινοποιηθεί ευρέως στο Διαδίκτυο, επομένως οι πελάτες του Dedalus Biology διατρέχουν τον κίνδυνο να υποστούν κοινωνικές μηχανικές, phish, απάτη, ακόμη και εκβιασμό.
Τα πρώτα σημάδια της διαρροής της βάσης δεδομένων εμφανίστηκαν ήδη από τον Μάρτιο του 2020, με την ANSSI να εκδίδει σχετική ειδοποίηση σε ένα από τα εκτεθειμένα εργαστήρια τον Νοέμβριο του 2020.
Τον Φεβρουάριο του 2021, το γαλλικό περιοδικό ZATAZ εντόπισε μια πώληση του συγκεκριμένου συνόλου δεδομένων στον σκοτεινό ιστό και επιβεβαίωσε ότι οι πληροφορίες ήταν έγκυρες.