Les données de santé font partie des informations les plus sensibles. Cependant, dans un développement récent, le ministère de la politique et du financement des soins de santé du Colorado (HCPF) a été victime d’une attaque malveillante de la chaîne d’approvisionnement, entraînant la violation d’informations médicales et de santé sensibles appartenant à des millions d’Américains.
Comment la brèche a-t-elle fonctionné ?
Le groupe de piratage notoire, Clop, qui ciblait auparavant diverses institutions financières, dont 1st Source et First National Bankers Bank, a revendiqué la responsabilité de cette attaque.
Pour exécuter la violation, les acteurs de la menace ont exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit d’IBM, que le HCPF a utilisé pour gérer les groupes démographiques vulnérables, tels que les familles à faible revenu, les personnes âgées et les personnes handicapées, sous le Health First Colorado (Medicaid) et les programmes Child Health Plan Plus. Bien que l’étendue exacte fasse toujours l’objet de débats, des rapports suggèrent que la violation a touché plus de quatre millions de dossiers clients. Ces enregistrements incluent les noms complets, les numéros de sécurité sociale, les détails du revenu, les détails démographiques, les dates de naissance, les adresses physiques et d’autres moyens de contact.
Pour aggraver les choses, les pirates ont également réussi à accéder aux numéros d’identification Medicaid et Medicare critiques ainsi qu’aux données relatives à la santé et à l’assurance. Le volume substantiel de données compromises pourrait potentiellement faciliter le vol d’identité par les acteurs de la menace.
De plus, la vulnérabilité, connue sous le nom de CVE-2023-34362, a mis en évidence des risques plus larges associés au logiciel MOVEit, car les pirates peuvent l’utiliser pour acquérir des privilèges supplémentaires, obtenant ainsi un accès non autorisé à des environnements encore plus sensibles.
Réponse à la violation
À la lumière de la violation, HCPF s’est engagé à fournir deux ans de services de surveillance du crédit via Experian. Et bien que ces mesures puissent sembler modestes, le département renforce activement ses défenses en matière de cybersécurité et gère les répercussions découlant de la faille de la chaîne d’approvisionnement MOVEit. En outre, le HCPF a émis un avertissement aux victimes, leur conseillant de prendre des mesures proactives pour protéger leurs informations personnelles, telles que la surveillance des relevés de compte, l’examen des rapports de crédit gratuits et le placement d’alertes à la fraude.
