Rite Aid, la troisième plus grande chaîne de pharmacies aux États-Unis, a déclaré que plus de 2,2 millions de ses clients ont été victimes d’une violation de données qui a volé des informations personnelles, notamment des numéros de permis de conduire, des adresses et des dates de naissance.
La société a déclaré dans des documents obligatoires déposés auprès des procureurs généraux des États du Maine, du Massachusetts, du Vermont et de l’Oregon que les données volées étaient associées à des achats ou tentatives d’achat de produits de détail effectués entre le 6 juin 2017 et le 30 juillet 2018. Les données fournies comprenaient le nom de l’acheteur, son adresse, sa date de naissance et son numéro de permis de conduire ou toute autre pièce d’identité délivrée par le gouvernement. Aucun numéro de sécurité sociale, aucune information financière ou information sur les patients n’ont été inclus.
« Le 6 juin 2024, un tiers inconnu s’est fait passer pour un employé de l’entreprise pour compromettre ses identifiants professionnels et accéder à certains systèmes de l’entreprise », indique le dossier. « Nous avons détecté l’incident dans les 12 heures et avons immédiatement lancé une enquête interne pour mettre fin à l’accès non autorisé, remédier aux systèmes affectés et déterminer si des données client ont été affectées. »
RansomHub, le nom d’un groupe de ransomware relativement nouveau, a revendiqué la responsabilité de l’attaque, qui aurait permis de récupérer plus de 10 Go de données clients. RansomHub est apparu plus tôt cette année comme une version rebaptisée d’un groupe connu sous le nom de Knight. Selon la société de sécurité Check Point, RansomHub est devenu le groupe de ransomware le plus répandu à la suite d’une opération internationale menée par les forces de l’ordre en mai, qui a détruit une grande partie de l’infrastructure utilisée par le groupe de ransomware rival Lockbit.
Sur son site Internet, RansomHub a déclaré qu’il était en phase avancée de négociation avec les responsables de Rite Aid lorsque l’entreprise a soudainement coupé les communications. Un responsable de Rite Aid n’a pas répondu aux questions envoyées par e-mail. Rite Aid a également refusé de dire si le compte de l’employé compromis lors de la violation était protégé par une authentification multifacteur.
Rite Aid compte plus de 1 700 magasins dans 16 États. Elle a enregistré un chiffre d’affaires de 5,7 milliards de dollars au cours de son dernier trimestre fiscal, clos le 3 juin. La chaîne a déposé son bilan en octobre, en grande partie pour se protéger des poursuites judiciaires liées à la crise des opioïdes. Rite Aid est défendeur dans plusieurs poursuites judiciaires découlant d’une autre violation de données survenue en mai 2023. La violation précédente a révélé les noms des patients, les dates de naissance, les adresses, les données de prescription et les données d’assurance de plus de 24 000 clients. Rite Aid a déjà signalé des violations en 2015, 2017 et 2018.