Het Amerikaanse bedrijf MedData heeft een datalek waarbij de gegevens van 136.000 patiënten door een medewerker op GitHub.com werden geplaatst geschikt voor een bedrag van 7 miljoen dollar. MedData verzorgt verschillende diensten voor ziekenhuizen en andere zorginstellingen, zoals facturatie en het beoordelen of mensen in aanmerking komen voor een Medicaid-zorgverzekering.

Eind 2020 werd MedData door de Nederlandse beveiligingsonderzoeker Jelle Ursem ingelicht dat data van het bedrijf op GitHub stond. Verder onderzoek wees uit dat een medewerker tussen december 2018 en september 2019 patiëntgegevens in persoonlijke mappen op GitHub Arctic Code Vault had opgeslagen. Het ging om namen, adresgegevens, geboortedata, social-securitynummers, diagnoses, medische aandoeningen, verzekeringsclaims en nog veel meer informatie.

Slachtoffers van het datalek werden op 31 maart 2021 ingelicht. Daarnaast besloot MedData om het gebruik van file sharing websites op het eigen netwerk te blokkeren, werden beleid en procedures aangepast, een security operations center geïmplementeerd en een managed detection and response uitgerold. MedData bevestigde dat de bestanden van GitHub zijn verwijderd.

Het is echter onduidelijk of de data ook veilig is. De medewerker had ze geüpload naar GitHub Arctic Code Vault, een publieke data repository voor de langetermijnopslag van bestanden. Daarbij wordt opgeslagen data ook op fysieke opslagmedia geplaatst. MedData heeft GitHub naar logs gevraagd om te bepalen of de data ook op fysieke media is opslagen. Of GitHub de logs heeft verstrekt is onduidelijk.

Naar aanleiding van het datalek besloten verschillende gedupeerden een massaclaim tegen MedData te starten. Ze stelden dat het bedrijf hun gegevens niet goed had beveiligd en ze te laat waren ingelicht. Het bedrijf, dat nu ElevatePFS heet, heeft besloten om te schikken. Deelnemers aan de massaclaim hebben tot 21 mei om een claim in te dienen. Daarbij kan elke deelnemer een bedrag van maximaal 5.000 dollar claimen, afhankelijk van de geleden schade.