Les données de santé de quatre millions d'Américains volées après la cyberattaque contre MOVEit
Le système de santé du Colorado a reconnu être une victime collatérale de l'attaque contre le logiciel de transfert de données MOVEit, touché par l’intermédiaire d’IBM, qui gère une partie de son infrastructure informatique.
La liste des victimes n'en finit plus de s'allonger. Deux mois et demi après la cyberattaque contre le logiciel de transfert de données MOVEit, les autorités du Colorado ont reconnu que les données de santé de plus de 4 millions de personnes avaient été dérobées lors de cet incident.
La faille de sécurité a touché l’administration chargée du programme Medicaid, l’assurance maladie pour les familles à faible revenu. Les données volées comportent les noms, dates de naissance, adresses postales, numéros de sécurité sociale et déclarations de revenus des assurés. Mais aussi des ordonnances et des résultats d’analyse médicale.
Victime collatérale
Comme d’autres organisations avant lui, le système de santé du Colorado est une victime collatérale. Il a été touché par l’intermédiaire d’IBM, qui gère une partie de son infrastructure informatique. La société n’a pas commenté cette information, qui laisse à penser que d’autres clients de ses offres sont également concernés.
Développé par l’éditeur américain Progress Software, MOVEit permet de transférer des données sensibles entre des partenaires, clients ou utilisateurs. Le logiciel est utilisé par “des milliers d'entreprises à travers le monde”, indique son concepteur, qui assure avoir corrigé la vulnérabilité identifiée fin mai.
Plus de 600 victimes
Depuis, la liste des victimes, directes et indirectes, compte plus de 600 entreprises et administrations, essentiellement aux Etats-Unis, selon les décomptes de plusieurs chercheurs en cybersécurité. De grandes entreprises sont concernées, comme Shell, British Airways, Deutsche Bank, PWC ou encore Sony.
La cyberattaque a été menée par le groupe de hackers russes Clop. Ces dernières semaines, celui-ci publie au compte-gouttes l'identité des victimes, sur sa plateforme d'échange de données volées. À chaque fois, il réclame le paiement d'une rançon, faute de quoi il menace de publier en ligne ou de revendre les données qu’il a récupérées.
