Khoảng 15 triệu người dân Pháp bị rò rỉ thông tin y tế
Điều tra của kênh truyền hình France 2 cho thấy một cơ sở dữ liệu được công khai trên mạng chứa thông tin chi tiết về các bệnh nhân, trong đó có những ghi chú nhạy cảm của nhân viên y tế.
Bác sỹ kê đơn thuốc cho bệnh nhân. Ảnh minh họa. (Nguồn: Pexels)
Một vụ rò rỉ dữ liệu y tế quy mô lớn đang gây chấn động dư luận Pháp, ước tính có thể ảnh hưởng từ 11-15 triệu người, sau khi thông tin cá nhân của các bệnh nhân bị phát tán trên các diễn đàn mạng.
Theo phóng viên TTXVN tại Paris, điều tra của kênh truyền hình France 2 cho thấy một cơ sở dữ liệu được công khai trên mạng chứa thông tin chi tiết về các bệnh nhân, trong đó có những ghi chú nhạy cảm của nhân viên y tế.
Một số nội dung đề cập trực tiếp đến tình trạng nhiễm HIV, xu hướng tính dục, tôn giáo hoặc hoàn cảnh gia đình của người bệnh. Các cá nhân được liên hệ đều xác nhận thông tin bị rò rỉ là chính xác.
Nhóm tin tặc tự nhận đứng sau vụ tấn công mạng cho biết mới chỉ công bố một phần dữ liệu và khẳng định mục tiêu là Cegedim - tập đoàn chuyên cung cấp phần mềm cho ngành y tế.
Theo ước tính của Ủy ban Tin học quốc gia (CNIL) của Pháp, doanh nghiệp này phục vụ khoảng 25.000 phòng khám và 500 trung tâm y tế trên toàn quốc.
Cegedim xác nhận dữ liệu cá nhân của các bệnh nhân đã bị đánh cắp vào cuối năm 2025, song chưa làm rõ đầy đủ quy mô vụ việc.
Dữ liệu bị xâm nhập liên quan đến một phần mềm đang được khoảng 3.800 khách hàng tại Pháp sử dụng. Doanh nghiệp cho biết đã phát hiện hành vi bất thường, tiến hành khóa truy cập, nộp đơn kiện và thông báo vụ việc cho CNIL.
Theo Cegedim, phần lớn dữ liệu bị lấy cắp là thông tin hành chính như số điện thoại, địa chỉ thư điện tử và mối liên hệ giữa bệnh nhân với bác sỹ điều trị.
Hồ sơ bệnh án chi tiết không nằm trong hệ thống bị tấn công. Tuy nhiên, giới truyền thông cho biết vẫn có một số thông tin cá nhân nhạy cảm trong dữ liệu.
Về quy mô ảnh hưởng, con số hiện chưa được xác định chính xác. Trên diễn đàn nơi dữ liệu được rao bán, tin tặc tuyên bố tệp chứa thông tin của 19 triệu bệnh nhân. Trong khi đó, France 2 ước tính khoảng 11 đến 15 triệu người bị ảnh hưởng.
Theo thông báo ngày 27/2 của Văn phòng Bộ trưởng Y tế Stéphanie Rist, cơ sở dữ liệu này bao gồm thông tin liên hệ của khoảng 15 triệu người, trong đó dưới 1%, tương đương 169.000 người, có thêm dữ liệu do bác sỹ nhập. Phần lớn là các thông tin đơn giản, song một số trường hợp chứa những dữ liệu y tế nhạy cảm.
Hiện đã có 2 tài khoản khác nhau thừa nhận đứng sau vụ tấn công mạng trên các diễn đàn chuyên biệt. Một tài khoản đã công bố dữ liệu từ tháng 1, trong khi tài khoản khác tuyên bố hành động dưới danh nghĩa Dumpsec, nhóm tội phạm mạng từng tấn công nhiều doanh nghiệp Pháp hồi năm 2025.
Cegedim là tập đoàn công nghệ y tế niêm yết trên Sở giao dịch chứng khoán Paris, cung cấp nhiều dịch vụ quản lý dành cho các bác sỹ và cơ sở y tế, đồng thời vận hành nền tảng đặt lịch khám Maïa.
Doanh nghiệp này từng là mục tiêu của một vụ tấn công mạng lớn vào năm 2023 và bị CNIL phạt 800.000 euro vào năm 2024 (khoảng 950.000 USD theo tỷ giá hiện nay) vì xử lý dữ liệu y tế mà chưa có sự đồng ý của bệnh nhân.
Bộ trưởng Y tế Stéphanie Rist đã yêu cầu Cegedim báo cáo rõ nguyên nhân sự cố, các biện pháp khắc phục và cam kết ngăn chặn tái diễn.
Nghiệp đoàn các bác sĩ đa khoa MG France cũng đã kiến nghị cơ quan chức năng vào cuộc, yêu cầu làm rõ trách nhiệm và bảo đảm an toàn cho hệ thống dữ liệu y tế trong tương lai./.
