L’ADN de 2,1 millions de personnes a été piraté à cause d’une incroyable négligence

adn


Une entreprise spécialisée dans les tests ADN a été piratée. Lors de l’attaque, les hackers ont subtilisé les données relatives au génome de 2,1 millions d’individus. L’opération n’a porté ses fruits que grâce à la négligence de la société en matière de sécurité informatique…

DNA Diagnostics Center (DDC), une société américaine spécialisée dans les tests ADN et de paternité, a été victime d’une attaque informatique en 2021. Peu avant le mois de mai, un logiciel baptisé Cobalt Strike est apparemment parvenu à pénétrer sur le réseau de l’entreprise. Le logiciel est à la fois utilisé par des experts en cybersécurité, pour tester des protocoles ou déployer des simulations d’espionnage, et des pirates. Détourné par les criminels, le cheval de Troie est capable de télécharger ou téléverser des fichiers, d’exécuter des commandes arbitraires et d’être persistant sur l’ordinateur infecté.

La présence de Cobalt Strike a été décelée par une société chargée de surveiller les données détenues par DNA Diagnostics Center. Le prestataire a promptement averti son client d’une activité inhabituelle sur le réseau. Pour une raison inconnue, DNA Diagnostics Center n’a pas immédiatement réagi à la mise en garde de son partenaire.

« L’entrepreneur a tenté à plusieurs reprises d’informer DNA Diagnostics par courrier électronique, mais les employés de l’entreprise ont négligé les courriels pendant plus de deux mois », regrettent les autorités américaines.

À lire aussi : Faut-il autoriser les tests ADN récréatifs en France ?

Des données sensibles oubliées

Grâce à la négligence de l’entreprise, des hackers ont accédé aux bases de données du groupe entre le 24 mai et le 28 juillet 2021. Les pirates se sont emparés des données concernant l’ADN de 2,1 millions de personnes, en exploitant de nombreuses failles de sécurité dans l’infrastructure.

« Cinq serveurs ont été compromis et contenaient des sauvegardes de 28 bases de données, et un serveur mis hors service a été utilisé pour exfiltrer les données », détaille un communiqué des autorités fédérales.

Ces informations sensibles avaient été obtenues par le biais d’une société de médecine légale appelée Orchid Cellmark, qui a été rachetée par DNA Diagnostics Center en 2012. De l’aveu de l’entreprise américaine, ces données ont été reçues par erreur lors de l’acquisition. La DDC précise n’avoir jamais exploité les données. En fait, le groupe n’avait même pas conscience que les informations étaient stockées sur ses serveurs… Pour se justifier, le spécialiste des tests ADN assure qu’un inventaire antérieur de ses archives n’avait pas révélé la présence des données.

Quand l’entreprise basée dans l’Ohio s’est enfin décidée à agir, il était déjà trop tard. Les pirates avaient siphonné les données et réclamé une rançon. Les cybercriminels ont en effet demandé aux responsables de la DDC de verser une importante somme d’argent, dont le montant est resté inconnu, en échange de la suppression des données. La firme a accepté de payer la rançon. Les hackers prétendent avoir effacé toutes les données volées.

Une amende de 400 000 dollars

Une enquête a promptement été ouverte par les procureurs généraux de l’État de Pennsylvanie et de l’Ohio. En négligeant les avertissements de son prestataire, le DNA Diagnostics Center a enfreint le Health Insurance Portability and Accountability Act, ont conclu les enquêteurs. Votée en 1996, cette loi dresse les exigences fédérales réglementaires en matière de sécurité et de confidentialité des données de santé.

La base de données volées contenait notamment l’ADN de 33 300 personnes résidant en Pennsylvanie et 12 600 personnes en Ohio. En plus du génome, on trouvait aussi les noms, les numéros de sécurité sociale et les informations de paiement de tous les clients. Il s’agit évidemment d’informations très sensibles, qui mettent en danger tous les individus concernés. Ces données permettent par exemple d’orchestrer des attaques phishing taillées sur mesure.

« Plus ces criminels ont accès à des informations personnelles, plus la personne dont les informations ont été volées devient vulnérable », explique la procureur générale Michelle A. Henry.

C’est pourquoi le DNA Diagnostics Center a écopé d’une amende totale de 400 000 dollars. Dans le détail, l’Ohio et la Pennsylvanie ont réclamé 200 000 dollars à la firme. La société, qui se vante d’être le leader mondial des tests ADN, s’est engagée à renforcer ses pratiques en matière de sécurité informatique. Des évaluations des risques, un nouvel inventaire des archives et des mises à jour sont au programme.

Ce n’est pas la première fois que l’ADN de millions de personnes se retrouve sur la toile. En 2018, une firme appelée MyHeritage DNA avait perdu les données de 92 millions d’utilisateurs lors d’une fuite.

Source :

HIPAA Journal



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.