Una violación de datos en CPAP Medical Supplies and Services, Inc., un contratista de defensa con sede en Jacksonville, Florida, expuso la información confidencial de 90,133 miembros militares, veteranos y sus familias después de una intrusión no autorizada a sus sistemas informáticos. La compañía declaró que el incidente de seguridad ocurrió en diciembre, pero no se descubrió hasta finales de junio. Las cartas de notificación se enviaron posteriormente a las personas afectadas a mediados de agosto. Se expuso una amplia gama de datos personales y médicos, incluidos nombres, fechas de nacimiento, números de seguro social y números de identificación de pacientes. La información comprometida también abarcaba detalles del seguro de salud, antecedentes médicos integrales, diagnósticos específicos y planes de tratamiento. Esta violación afectó a miles de residentes en Texas como parte del número total de individuos afectados. En su carta de notificación, la compañía informó a los pacientes: «Como resultado de un incidente de ciberseguridad, CPAP se enteró de que un actor no autorizado obtuvo acceso a nuestro entorno de red». La firma confirmó que ahora está trabajando con profesionales de ciberseguridad externos para investigar el incidente y determinar la medida completa en la que los datos personales o confidenciales se habían comprometido. CPAP Medical Supplies and Services, Inc. se asocia con TRICARE, la aseguradora de salud del ejército, para proporcionar máquinas continuas de presión de vías respiratorias positivas (CPAP) y suministros relacionados para pacientes diagnosticados con apnea obstructiva del sueño. Los dispositivos, que ayudan a mantener abiertas las vías respiratorias de un usuario durante el sueño, también rastrean los datos de sueño a los que los sistemas de la compañía pueden acceder. En respuesta a la violación, la compañía ofrece 12 meses de servicios de monitoreo de crédito y monitoreo de identidad de cortesía a todas las personas impactadas. Si bien el incidente se ha incluido en los sitios web de notificación de violación de datos para los estados de Maine, Massachusetts y Washington, aún no ha aparecido en el rastreador en línea del Fiscal General de Texas por infracciones de seguridad de datos. La violación tampoco figura actualmente en la base de datos del Departamento de Salud y Servicios Humanos de los Estados Unidos de infracciones de información de salud.
