Les pirates ont accédé aux données personnelles de plus d’un million de personnes en exploitant une faille de sécurité dans un outil de transfert de fichiers utilisé par Welltok, la plateforme de soins de santé appartenant à Virgin Pulse.
Welltok, une société d’engagement des patients basée à Denver qui travaille avec des plans de soins de santé pour fournir des communications aux abonnés sur leurs soins de santé, a confirmé dans une notification de violation de données déposée auprès du procureur général du Maine la semaine dernière que des pirates informatiques avaient accédé aux données sensibles de plus de 1,6 million de personnes.
Dans une lettre envoyée aux personnes concernées, Welltok a déclaré avoir été alerté d’une prétendue compromission de son serveur MOVEit Transfer, un système qui permet aux organisations de déplacer de grandes quantités de données souvent sensibles sur Internet, après que le développeur du système a publié les détails d’un vulnérabilité logicielle plus tôt cette année. Welltok a déclaré avoir initialement déterminé en juillet qu’il n’y avait aucune indication d’un compromis. Une deuxième enquête, lancée par la société en août, a révélé que des pirates informatiques avaient « exfiltré certaines données » du serveur MOVEit Transfer de Welltok.
Les données compromises comprennent les noms des individus, leurs dates de naissance, leurs adresses et leurs informations de santé, selon la lettre.
Dans un avis publié sur son site Web pour la première fois fin octobre, Welltok a déclaré que les pirates informatiques avaient également accédé aux numéros de sécurité sociale, aux numéros d’identification Medicare et Medicaid et aux informations d’assurance maladie de certains patients.
TechCrunch a découvert que le site Web de violation de données de Welltok inclut un code « noindex », qui indique aux moteurs de recherche d’ignorer la page Web, ce qui rend plus difficile pour les clients concernés de trouver la déclaration en la recherchant. On ne sait pas exactement pour quelle raison Welltok a caché sa notification de violation de données aux moteurs de recherche.
Welltok a déclaré que la violation affectait les régimes de soins de santé collectifs de Stanford Health Care, Lucile Packard Children’s Hospital Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners et Packard Children’s Health Alliance, que Welltok a déclaré avoir notifiés le 18 octobre.
Cependant, il semble que la violation de Welltok puisse affecter davantage de prestataires de soins de santé – et plus de personnes – que ce qui est indiqué dans la divulgation de Welltok au procureur général du Maine.
Corewell Health, un fournisseur de services de santé du sud-est du Michigan qui utilise Welltok pour la communication avec les patients, a déclaré la semaine dernière dans un communiqué de presse que les informations de santé d’environ un million de patients, ainsi que d’environ 2 500 membres de Priority Health, avaient été compromises par la violation de Welltok.
Sutter Health, un prestataire de soins de santé à but non lucratif dont le siège est à Sacramento, a également confirmé que plus de 840 000 de ses patients ont été touchés par la violation de Welltok.
St. Bernards, un prestataire de soins de santé basé en Arkansas qui utilise une plateforme de gestion des contacts avec les patients de Welltok, a également été touché, a indiqué la société dans un communiqué. Dans un dossier antérieur auprès du procureur général du Maine, Welltok a confirmé que la violation avait touché près de 90 000 patients de Saint-Bernard.
Les notifications de violation pour Corewell, Sutter et St. Bernards représentent environ 1,9 million de patients, bien plus que le nombre de patients concernés révélé par Welltok.
TechCrunch a demandé des commentaires à Welltok, mais n’a pas reçu de réponse au moment de la publication.
Selon les chercheurs de la société de cybersécurité Emsisoft, les piratages massifs MOVEit – considérés comme le plus grand incident de piratage de l’année par le seul nombre de personnes touchées – ont touché à ce jour plus de 2 600 organisations, dont la majorité sont basées aux États-Unis. États.
Emsisoft estime que plus de 77 millions de personnes ont été touchées jusqu’à présent par les cyberattaques, revendiquées par le célèbre gang de ransomwares Clop. Le nombre réel de personnes concernées devrait être considérablement plus élevé à mesure que davantage d’organisations se manifesteront.