100 millions de personnes touchées par la plus grande violation de données de santé de l'histoire – informations médicales, SSN et plus encore
Plus de 100 millions de personnes ont vu leurs informations personnelles et leurs données de santé volées lors de l'attaque massive du ransomware UnitedHealth plus tôt cette année, ce qui en fait la plus grande violation de données de santé dans le pays.
Après avoir terminé son enquête sur la violation de données de février, le ministère américain de la Santé et des Services sociaux a déclaré cette semaine qu'environ un tiers de toutes les données de santé des Américains avaient été exposées lors de l'attaque. Les résultats confirment la déclaration d'UnitedHealth en avril selon laquelle l'attaque a exposé les données sensibles d'une « proportion substantielle de personnes en Amérique ».
En février, le groupe de piratage de ransomwares ALPHV, également connu sous le nom de « BlackCat », a lancé une cyberattaque contre Change Healthcare, filiale d'UnitedHealth, provoquant des mois de pannes et de perturbations sans précédent dans le traitement des réclamations dans le secteur de la santé aux États-Unis. Change Healthcare est l'une des plus grandes sociétés de traitement des paiements de santé au monde et travaille avec de grandes compagnies d'assurance comme Aetna, Anthem, Blue Cross Blue Shield et Cigna.
« Le 22 octobre 2024, Change Healthcare a informé (le Bureau des droits civils du HHS) qu'environ 100 millions de notifications individuelles ont été envoyées concernant cette violation », peut-on lire dans une FAQ sur le site Web du HHS.
Selon les avis publics publiés par l'entreprise en juin, les données volées comprennent : les informations de facturation, de réclamation et de paiement ; des informations médicales telles que des diagnostics, des résultats de tests et des numéros de dossier médical ; informations sur l'assurance maladie telles que les numéros d'identification des membres/groupes ; et des informations personnelles telles que les numéros de sécurité sociale et les permis de conduire ou les numéros d'identification d'État.
UnitedHealth a signalé la violation pour la première fois le 21 février. Change Healthcare a envoyé un avertissement de violation de données aux utilisateurs le mois suivant. En juin, la société a publié un avis public dans le cadre de son obligation d'informer le tiers du pays estimé touché par l'attaque du ransomware. L'enquête fédérale en est encore à ses dernières étapes, a déclaré UnitedHealth dans un communiqué, et la société continuera d'informer les personnes potentiellement concernées le plus rapidement possible.
Lors d'une audience au Congrès en mai, Andrew Witty, PDG d'UnitedHealth, a déclaré que le groupe de pirates informatiques avait utilisé les informations de connexion volées des employés pour pirater le service d'accès à distance Citrix de l'entreprise. Surtout, le profil Citrix n'avait pas d'authentification multifacteur (MFA) activée, ce qui ouvrait la porte aux pirates informatiques pour accéder à distance au réseau de l'entreprise. Witty a déclaré aux législateurs que la société avait depuis mis à jour ses politiques internes pour rendre obligatoire la MFA à la suite de la cyberattaque. UnitedHealth a confirmé au Congrès avoir payé la rançon demandée de 22 millions de dollars pour recevoir un décrypteur dans le cadre de l'accord selon lequel les pirates informatiques supprimeraient les données volées, mais la suppression des données n'a jamais eu lieu. Après avoir reçu le paiement, BlackCat a lancé une arnaque à la sortie et a fermé ses serveurs.