Des millions d’Américains se sont fait voler leurs informations médicales et de santé sensibles après que des pirates aient exploité une vulnérabilité de type « jour zéro » dans le logiciel de transfert de fichiers MOVEit, largement utilisé, qui a attaqué les systèmes exploités par le géant de la technologie IBM.
Le Département de la politique et du financement des soins de santé (HCPF) du Colorado, qui est responsable de l’administration du programme Medicaid du Colorado, a confirmé vendredi qu’il avait été victime des piratages de masse MOVEit, exposant les données de plus de quatre millions de patients.
Dans une notification de violation de données aux personnes concernées, le HCPF du Colorado a déclaré que les données avaient été compromises parce qu’IBM, l’un des fournisseurs de l’État, « utilise l’application MOVEit pour déplacer les fichiers de données HCPF dans le cours normal des affaires ».
La lettre indique que même si aucun système HCPF ou gouvernemental de l’État du Colorado n’a été affecté par ce problème, « certains fichiers HCPF sur l’application MOVEit utilisée par IBM ont été consultés par l’acteur non autorisé ».
Ces fichiers comprennent les noms complets des patients, les dates de naissance, les adresses de domicile, les numéros de sécurité sociale, les numéros d’identification Medicaid et Medicare, les informations sur le revenu, les données cliniques et médicales, y compris les résultats de laboratoire et les médicaments, et les informations sur l’assurance maladie.
Le HCPF indique qu’environ 4,1 millions de personnes sont touchées.
IBM n’a pas encore confirmé publiquement qu’il a été affecté par les hacks de masse MOVEit, et un porte-parole d’IBM n’a pas répondu à une demande de commentaire de TechCrunch.
La violation des systèmes MOVEit d’IBM a également eu un impact sur le Département des services sociaux (DSS) du Missouri, bien que le nombre de personnes concernées ne soit pas encore connu. Plus de six millions de personnes vivent dans l’État du Missouri.
Dans une notification de violation de données publiée la semaine dernière, le DSS du Missouri a déclaré : « IBM est un fournisseur qui fournit des services au DSS, l’agence d’État qui fournit des services Medicaid aux Missouriens éligibles. La vulnérabilité des données n’a pas eu d’impact direct sur les systèmes DSS, mais a eu un impact sur les données appartenant à DSS.
Le DSS indique que les données consultées peuvent inclure le nom d’une personne, le numéro de client du service, la date de naissance, le statut ou la couverture d’admissibilité aux prestations possibles et des informations sur les réclamations médicales.
Ni le HCPF du Colorado ni le DSS du Missouri n’ont été répertoriés sur le site Web sombre du gang de rançongiciels Clop, qui a revendiqué la responsabilité des attaques de masse. Dans un message sur le site, le groupe de liaison avec la Russie affirme : « Nous n’avons aucune donnée gouvernementale ».
La nouvelle de la dernière brèche du Colorado survient quelques jours seulement après que le ministère de l’Enseignement supérieur du Colorado a déclaré avoir été victime d’un incident de ransomware qui a vu des pirates accéder et copier 16 ans de données de ses systèmes. La Colorado State University a également confirmé le mois dernier qu’elle avait subi une violation de données liée à MOVEit, affectant des dizaines de milliers d’étudiants et de membres du personnel académique.
Pendant ce temps, PH Tech, une société qui fournit des services de gestion de données aux assureurs de soins de santé américains, a confirmé qu’elle était également touchée par les piratages MOVEit, affectant les informations de santé de 1,7 million d’habitants de l’Oregon.
Jusqu’à présent cette année, la plus grande violation d’un fournisseur de soins de santé américain concerne HCA Healthcare, qui a impliqué les noms, adresses et détails de rendez-vous de 11,2 millions de personnes dans une faille de sécurité sans rapport avec MOVEit.