Naruszenie danych w firmie CPAP Medical Supplies and Services, Inc., wykonawcy branży obronnej z siedzibą w Jacksonville na Florydzie, ujawniło wrażliwe informacje 90 133 żołnierzy, weteranów i ich rodzin po nieupoważnionym włamaniu do jej systemów komputerowych. Firma podała, że incydent związany z bezpieczeństwem miał miejsce w grudniu, ale wykryto go dopiero pod koniec czerwca. Następnie w połowie sierpnia do osób dotkniętych wysłano pisma z powiadomieniami. Ujawniono szeroki zakres danych osobowych i medycznych, w tym imiona i nazwiska, daty urodzenia, numery ubezpieczenia społecznego i numery identyfikacyjne pacjentów. Skompromitowane informacje obejmowały również szczegóły ubezpieczenia zdrowotnego, pełną historię medyczną, szczegółowe diagnozy i plany leczenia. Naruszenie to dotknęło tysiące mieszkańców Teksasu w ogólnej liczbie dotkniętych osób. W swoim piśmie powiadamiającym firma poinformowała pacjentów: „W wyniku incydentu związanego z cyberbezpieczeństwem firma CPAP dowiedziała się, że nieupoważniony podmiot uzyskał dostęp do naszego środowiska sieciowego”. Firma potwierdziła, że współpracuje obecnie z zewnętrznymi specjalistami ds. cyberbezpieczeństwa, aby zbadać incydent i określić pełny zakres, w jakim doszło do naruszenia bezpieczeństwa danych osobowych lub wrażliwych. CPAP Medical Supplies and Services, Inc. współpracuje z Tricare, wojskowym ubezpieczycielem zdrowotnym, w celu zapewnienia urządzeń do ciągłego dodatniego ciśnienia w drogach oddechowych (CPAP) i powiązanych materiałów dla pacjentów, u których zdiagnozowano obturacyjny bezdech senny. Urządzenia, które pomagają utrzymać drożność dróg oddechowych użytkownika podczas snu, śledzą również dane dotyczące snu, do których mają dostęp systemy firmy. W odpowiedzi na naruszenie firma oferuje wszystkim osobom objętym naruszeniem bezpłatne usługi monitorowania kredytów i tożsamości przez 12 miesięcy. Chociaż incydent został wymieniony na stronach internetowych powiadamiających o naruszeniu bezpieczeństwa danych w stanach Maine, Massachusetts i Waszyngton, nie pojawił się jeszcze w internetowym systemie śledzenia naruszeń bezpieczeństwa danych prowadzonym przez prokuratora generalnego Teksasu. Naruszenie nie jest obecnie wymienione w bazie danych Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych zawierającej informacje na temat naruszeń informacji zdrowotnych.
