Un chirurgien américain poursuivi pour ne pas avoir informé ses patients du piratage de leurs photos dénudées

Des photos dénudées disponibles sur internet. Comme le rapporte 404media, les patients d'un chirurgien esthétique de Los Angeles (États-Unis) ont intenté un recours collectif contre le docteur au début du mois. Le professionnel ne les aurait pas informés à temps que sa base de données avait été piratée deux fois. Il n'aurait pas non plus suffisamment protégé ses systèmes informatiques.

Résultat, certaines informations personnelles et des photos de corps nus, à visage découvert, ont été partagées en ligne sur le dark web sans leur consentement. "En raison de sa négligence, le Dr Schwartz a permis que son réseau soit compromis deux fois en moins d’un an", précise la plainte.

Des informations médicales hautement privées

Tout commence en octobre 2023. Lors de la première cyberattaque, les hackers récupèrent près de 250.000 fichiers. Quelques photos de corps nus sont alors mises en ligne. Selon le document, le chirurgien n'aurait pas respecté les protocoles de sécurité pour protéger ces informations.

"Bien qu’il ait facturé des milliers de dollars à ses clients et qu’il ait eu accès à leurs informations médicales hautement privées, le Dr Schwartz a ignoré les mesures de sécurité de base pour protéger ces informations contre les cyberattaques malveillantes", indique la plainte.

Malgré les avertissements des pirates, le chirurgien aurait ensuite refusé de payer la rançon. De plus en plus de clichés compromettants ont donc été partagés sur des plateformes illicites.

Pourtant, le professionnel n'informe pas ses clients et préfère garder le silence. Certains patients commencent à se poser des questions et viennent interroger le chirurgien. Mais le docteur préfère minimiser l'ampleur des dégâts. Selon la plainte, le responsable de la cybersécurité aurait déclaré à une patiente que l'attaque n'avait affecté que six clients et que le médecin "travaillait avec le FBI et avait complètement remanié le système informatique pour empêcher de futures cyberattaques."

L'intégralité des données piratées

Le chirurgien n'aurait en réalité pris aucune précaution supplémentaire. En mars 2024, la situation se répète. Cette fois-ci, les escrocs auraient récupéré "l'intégralité des données" du médecin. Des photos nues, les coordonnées bancaires d'une trentaine de patients et leurs noms auraient été mis en ligne sur un site public. Les pirates auraient ensuite contacté directement les patients.

"À ce jour, les pirates ont publié environ 30 dossiers de patients", indique la plainte. "Ils ont prévenu qu’ils continueraient à divulguer les dossiers des patients, par ordre alphabétique, jusqu’à ce que le Dr Schwartz les contacte pour régler le problème."

Ce n'est qu'en janvier 2025, soit plus d'un an après le premier incident, que l'homme se décide à envoyer un message générique à ses clients. "Bien qu’il sache que les données médicales les plus privées de ses patients étaient entre les mains d’acteurs malveillants, le Dr Schwartz a attendu près de 10 mois pour les informer", précise la plainte.

Les patients réclament donc des dommages et intérêts pouvant atteindre 3.000 dollars par infraction et par personne.