Plus de 56 000 clients ont t touchs par la violation de donnes du DC Health Link, a rvl vendredi la DC Health Benefit Exchange Authority. Les champs de donnes compromis taient le nom, le numro de scurit sociale, la date de naissance, le sexe, les informations sur le plan de sant, les informations sur l’employeur et les informations sur les inscrits (adresse, e-mail, numro de tlphone, race, origine ethnique et statut de citoyennet).
Quelque 11 000 des plus de 100 000 participants l’change travaillent la Chambre et au Snat (dans la capitale nationale et les bureaux de district travers le pays) ou alors sont des parents de personnes qui travaillent ces endroits.
DC Health Link, la place de march de l’assurance maladie de Washington D.C., utilis par de nombreux membres du personnel de la Maison Blanche et leurs familles, a signal une violation de donnes, le FBI a prvenu que certaines des informations contenues dans la fuite avaient t mises disposition pour achat sur le dark web.
Dans une note interne envoye aux membres du personnel de la Chambre des tats-Unis, la directrice administrative de la Chambre, Catherine L. Szpindor, a inform les destinataires de la violation importante des donnes , qui a potentiellement expos les informations personnelles identifiables (PII) de milliers d’employs, et les a avertis que leurs donnes pourraient avoir t compromises.
La note interne se termine en suggrant aux membres de geler leur crdit et prvoit des mesures de prcaution supplmentaires pour viter d’tre victimes de fraude.
Dans une lettre au directeur de DC Health Link publie sur Twitter, le prsident de la Chambre Kevin McCarthy, R-Californie, et le chef de la minorit Hakeem Jeffries, D-N.Y., ont dclar que la violation augmente considrablement le risque que les dputs, le personnel et leurs familles soient victime d’un vol d’identit, de crimes financiers et de menaces physiques.
.@SpeakerMcCarthy & Minority Leader Jeffries’ letter regarding the DC Health Link data breach: pic.twitter.com/v6H3VtdGX4
— Mark Bednar (@MarkBednar) March 9, 2023
Le FBI a dclar dans un bref communiqu qu’il tait au courant de l’incident et qu’il aidait : Le FBI est au courant de cet incident et apporte son aide. Comme il s’agit d’une enqute en cours, nous n’avons aucune information supplmentaire fournir pour le moment , a dclar le FBI dans un communiqu.
Dans la lettre, McCarthy et Jeffries ont dclar que le FBI n’avait pas encore dtermin l’tendue de la violation, mais que des milliers de membres de la Chambre, d’employs et de leurs familles se sont inscrits une assurance maladie via DC Health Link depuis 2014. les clients pourraient tre extraordinaires.
Nous pouvons confirmer des informations selon lesquelles les donnes de certains clients de DC Health Link ont t exposes sur un forum public. Nous avons lanc une enqute approfondie et travaillons avec des enquteurs spcialiss en criminalistique et les forces de l’ordre , a dclar DC Health Link dans un communiqu. Puis, vendredi, ce communiqu a t publi :
Envoy par DC Health LinkIl y a 56 415 clients impacts. Les champs de donnes incluent les lments suivants, bien que tous les champs de donnes n’aient pas ncessairement t inclus pour chaque inscrit*: nom, numro de scurit sociale, date de naissance, sexe, informations sur le plan de sant (par exemple, nom du plan, nom de l’oprateur, montants des primes, contribution de l’employeur et couverture dates), les informations sur l’employeur, les informations sur les inscrits (par exemple, adresse, e-mail, numro de tlphone, race, origine ethnique et statut de citoyennet).
Nous reconnaissons la gravit de cet incident et nous avons contact les inscrits concerns pour fournir trois ans de surveillance gratuite de l’identit et du crdit aux trois principaux bureaux de crdit. La protection de surveillance de trois ans comprend toutes les personnes charge inscrites, les conjoints et les enfants. De plus, et par excs de prudence, nous proposons les mmes trois annes de suivi tous les autres clients, qui n’ont pas t impacts.
Bien que cette enqute soit toujours en cours, nos services fonctionnent normalement et nous continuons fonctionner dans un tat d’alerte accrue.
Associated Press a rapport qu’un courtier a publi sur un forum de criminalit en ligne qu’il avait des enregistrements sur 170 000 clients de DC Health Link disponibles la vente. Associated Press a discut avec le courtier via un site de chat chiffr et cette personne n’a pas dit si elle avait achet les donnes ou fourni des preuves supplmentaires pour tayer ses affirmations.
Cependant, des exemples de donnes de la violation sur plusieurs clients de DC Health Link ont t publis en ligne pour les acheteurs potentiels, qui comprenaient des numros de scurit sociale, et Associated Press a contact l’une des personnes concernes par tlphone.
Associated Press a galement not que ce piratage n’est que le dernier d’une srie de plusieurs sur les agences fdrales.
Une situation qui rappelle celle d’Equifax
C’est dans un communiqu de presse en septembre 2017 qu’Equifax, une agence de dclaration de crdit la consommation aux tats-Unis (considre comme l’une des trois plus grandes agences de crdit amricaines avec Experian et TransUnion), a confirm avoir t victime dune violation de donnes suite une attaque qui a eu lieu le 29 juillet de cette anne.
Au total, les donnes de prs de 143 millions de clients amricains ont t exposes. Les pirates ont eu accs, de mi-mai juillet, des informations comme les noms, les adresses, les dates de naissance, les numros de scurit sociale et le permis de conduire, autant dinformations qui peuvent servir une usurpation didentit.
Equifax a galement prcis que les cybercriminels taient parvenus accder aux numros de carte de crdit de 209 000 citoyens amricains. Ils ont galement pu mettre la main sur plus de 180 000 dossiers de crdits.
Equifax a utilis le mot admin comme mot de passe et nom d’utilisateur pour un portail contenant des informations sensibles, selon un recours collectif intent devant un tribunal fdral dans le Northern District of Georgia. Equifax a utilis le nom dutilisateur « admin » et le mot de passe « admin » pour protger un portail utilis pour grer les diffrends relatifs au crdit, un mot de passe qui « est un moyen infaillible de se faire pirater » , indique la plainte.
La poursuite note galement qu’Equifax a admis avoir utilis des serveurs non chiffrs pour stocker les informations personnelles sensibles et a not que ces informations taient accessibles au public.
Selon la plainte, quand Equifax, l’une des trois plus grandes agences d’valuation du crdit la consommation, a chiffr les donnes, elle a laiss les cls pour dverrouiller le chiffrement sur les mmes serveurs ouverts au public, facilitant ainsi le retrait du chiffrement des donnes .
Le recours collectif a regroup 373 actions en justice antrieures. Contrairement dautres poursuites contre Equifax, celles-ci ne proviennent pas de consommateurs lss, mais plutt dactionnaires allguant que la socit na pas divulgu de manire adquate les risques ou ses pratiques de scurit.
La poursuite a t intente par des personnes qui ont achet des actions d’Equifax entre le 25 fvrier 2016 et le 15 septembre 2017. En septembre 2017, Equifax a annonc une violation de donnes exposant les informations personnelles de 147 millions de personnes. La socit a conclu un accord de 425 millions de dollars avec la FTC en septembre 2019.
En mars 2018, Equifax a dpos une requte pour que cette affaire soit abandonne.
La plainte du demandeur est dpourvue de faits, ce qui suggre mme de manire plausible que les dfendeurs taient au courant de toute information contredisant leurs dclarations publiques au moment o elles ont t faites , peut-on lire dans la requte. Au lieu de cela, les revendications du demandeur reposent presque entirement sur la notion non taye et invraisemblable selon laquelle les dfendeurs ont omis sciemment et dlibrment de corriger la vulnrabilit logicielle en cause dans l’incident de cyberscurit .
La requte en irrecevabilit a t rejete par le tribunal en janvier 2019.
La cyberscurit dEquifax tait dangereusement dficiente , a dclar le tribunal. La compagnie sappuyait sur une seule personne pour mettre en uvre manuellement son processus de correction sur lensemble de son rseau . Le recours collectif se poursuit.
Source : communiqu de presse DC Health Link
Et vous ?
Quelle lecture en faites-vous ?
La situation est-elle, selon vous, plus catastrophique dans le cas de DC Health Link parce qu’il y a des lus ? Devrait-elle, selon vous, les motiver davantage frapper plus fort et plus vite le poing sur la table ?
Que pensez-vous de la raction de DC Health Link ?
tes-vous d’accord avec les internautes qui crient l’incomptence de DC Health Link bien que rien n’ait encore filtr de l’enqute (contrairement Equifax et sa cyberscurit extrmement rprhensible avec son mot de passe admin ou le fait que l’entreprise encore sappuyait sur une seule personne pour mettre en uvre manuellement son processus de correction sur lensemble de son rseau ?
De faon plus gnral, ce type d’incident illustre-t-il, selon vous, la raison pour laquelle les compagnies disposant d’informations sensibles ont le devoir de ne pas lsiner sur leur cyberscurit ?