Un cabinet d’avocats international qui travaille avec des entreprises touchées par des incidents de sécurité a subi sa propre cyberattaque qui a exposé les informations de santé sensibles de centaines de milliers de victimes de violations de données.
Orrick, Herrington & Sutcliffe, basé à San Francisco, a déclaré la semaine dernière que des pirates informatiques avaient volé les informations personnelles et les données de santé sensibles de plus de 637 000 victimes de violations de données à partir d’un partage de fichiers sur son réseau lors d’une intrusion en mars 2023.
Orrick travaille avec des entreprises touchées par des incidents de sécurité, y compris des violations de données, pour répondre aux exigences réglementaires, telles que l’obtention d’informations sur les victimes afin d’informer les autorités de l’État et les personnes concernées.
Dans une série de lettres de notification de violation de données envoyées aux personnes concernées, Orrick a déclaré que les pirates informatiques avaient volé de ses systèmes des quantités de données relatives à des incidents de sécurité survenus dans d’autres entreprises, au cours desquelles Orrick a servi de conseiller juridique.
Orrick a déclaré que la violation de ses systèmes concernait les données de ses clients, notamment des personnes bénéficiant d’un régime de soins de la vue auprès du géant de l’assurance EyeMed Vision Care et celles bénéficiant d’un régime de soins dentaires auprès de Delta Dental, un géant du réseau d’assurance maladie qui fournit une couverture dentaire à des millions d’Américains. Orrick a également déclaré avoir informé la compagnie d’assurance maladie MultiPlan, le géant de la santé comportementale Beacon Health Options (maintenant connu sous le nom de Carelon) et la US Small Business Administration que leurs données avaient également été compromises dans la violation de données d’Orrick.
Orrick a déclaré que les données volées comprennent les noms des consommateurs, leurs dates de naissance, leurs adresses postale et électronique, ainsi que les numéros d’identification émis par le gouvernement, tels que les numéros de sécurité sociale, les numéros de passeport et de permis de conduire, ainsi que les numéros d’identification fiscale. Les données comprennent également des informations sur le traitement médical et le diagnostic, des informations sur les réclamations d’assurance – telles que la date et les coûts des services – ainsi que les numéros d’assurance maladie et les détails du prestataire.
Orrick a déclaré que la violation concernait les identifiants de compte en ligne et les numéros de carte de crédit ou de débit.
Le nombre de personnes connues pour être affectées par cette violation de données a été multiplié par trois depuis qu’Orrick a révélé l’incident pour la première fois. Orrick a déclaré dans son dernier avis de violation de données qu’il « ne prévoyait pas de fournir de notifications au nom d’autres entreprises », mais n’a pas précisé comment il était arrivé à cette conclusion.
On ne sait pas exactement comment les pirates ont initialement pénétré dans le réseau d’Orrick, ni s’ils ont exigé une rançon financière du cabinet d’avocats.
Orrick n’a pas répondu aux questions de TechCrunch sur l’incident. La porte-parole d’Orrick, Jolie Goldstein, a déclaré dans un communiqué : « Nous regrettons les désagréments et les distractions causés par cet incident malveillant. Nous avons fait de notre priorité de résoudre le problème le plus rapidement possible pour nos clients, les personnes dont les données ont été impactées et notre équipe.
En décembre, Orrick a déclaré à un tribunal fédéral de San Francisco qu’il était parvenu à un accord de principe pour résoudre quatre recours collectifs, qui accusaient Orrick de n’avoir informé les victimes de la violation que des mois après l’incident.
« Nous sommes heureux de parvenir à un règlement bien moins d’un an après l’incident, ce qui met un terme à cette affaire, et nous continuerons à nous concentrer sur la protection de nos systèmes et des informations de nos clients et de notre société », a ajouté le porte-parole d’Orrick.