Les informations personnelles sur les membres du Congrès, leurs familles et leurs employés vendues sur le dark web,
suite à une « violation de données significative » de la plateforme d'assurance DC Health Link

Plus de 56 000 clients ont été touchés par la violation de données du DC Health Link, a révélé vendredi la DC Health Benefit Exchange Authority. Les champs de données compromis étaient le nom, le numéro de sécurité sociale, la date de naissance, le sexe, les informations sur le plan de santé, les informations sur l'employeur et les informations sur les inscrits (adresse, e-mail, numéro de téléphone, race, origine ethnique et statut de citoyenneté).

Quelque 11 000 des plus de 100 000 participants à l'échange travaillent à la Chambre et au Sénat (dans la capitale nationale et les bureaux de district à travers le pays) ou alors sont des parents de personnes qui travaillent à ces endroits.

DC Health Link, la place de marché de l'assurance maladie de Washington D.C., utilisé par de nombreux membres du personnel de la Maison-Blanche et leurs familles, a signalé une violation de données, le FBI a prévenu que certaines des informations contenues dans la fuite avaient été mises à disposition pour achat sur le dark web.

Dans une note interne envoyée aux membres du personnel de la Chambre des États-Unis, la directrice administrative de la Chambre, Catherine L. Szpindor, a informé les destinataires de la « violation importante des données », qui a potentiellement exposé les informations personnelles identifiables (PII) de milliers d'employés, et les a avertis que leurs données pourraient avoir été compromises.

La note interne se termine en suggérant aux membres de geler leur crédit et prévoit des mesures de précaution supplémentaires pour éviter d'être victimes de fraude.

Dans une lettre au directeur de DC Health Link publiée sur Twitter, le président de la Chambre Kevin McCarthy, R-Californie, et le chef de la minorité Hakeem Jeffries, D-N.Y., ont déclaré que la violation « augmente considérablement le risque que les députés, le personnel et leurs familles soient victime d'un vol d'identité, de crimes financiers et de menaces physiques. »

Le FBI a déclaré dans un bref communiqué qu'il était au courant de l'incident et qu'il aidait : « Le FBI est au courant de cet incident et apporte son aide. Comme il s'agit d'une enquête en cours, nous n'avons aucune information supplémentaire à fournir pour le moment », a déclaré le FBI dans un communiqué.

Dans la lettre, McCarthy et Jeffries ont déclaré que le FBI n'avait pas encore déterminé l'étendue de la violation, mais que des milliers de membres de la Chambre, d'employés et de leurs familles se sont inscrits à une assurance maladie via DC Health Link depuis 2014. les clients pourraient être extraordinaires.

« Nous pouvons confirmer des informations selon lesquelles les données de certains clients de DC Health Link ont été exposées sur un forum public. Nous avons lancé une enquête approfondie et travaillons avec des enquêteurs spécialisés en criminalistique et les forces de l'ordre », a déclaré DC Health Link dans un communiqué. Puis, vendredi, ce communiqué a été publié :

Citation Envoyé par DC Health Link
La DC Health Benefit Exchange Authority prend très au sérieux la violation de données des informations sur les inscrits. Le lundi 6 mars 2023, après avoir pris connaissance de l'incident, nous avons immédiatement lancé une enquête, commencé à travailler avec les forces de l'ordre et engagé une société tierce de criminalistique, Mandiant. Pendant que notre enquête est en cours, nous aimerions fournir une mise à jour sur la situation actuelle.

Il y a 56 415 clients impactés. Les champs de données incluent les éléments suivants, bien que tous les champs de données n'aient pas nécessairement été inclus pour chaque inscrit*: nom, numéro de sécurité sociale, date de naissance, sexe, informations sur le plan de santé (par exemple, nom du plan, nom de l'opérateur, montants des primes, contribution de l'employeur et couverture dates), les informations sur l'employeur, les informations sur les inscrits (par exemple, adresse, e-mail, numéro de téléphone, race, origine ethnique et statut de citoyenneté).

Nous reconnaissons la gravité de cet incident et nous avons contacté les inscrits concernés pour fournir trois ans de surveillance gratuite de l'identité et du crédit aux trois principaux bureaux de crédit. La protection de surveillance de trois ans comprend toutes les personnes à charge inscrites, les conjoints et les enfants. De plus, et par excès de prudence, nous proposons les mêmes trois années de suivi à tous les autres clients, qui n'ont pas été impactés.

Bien que cette enquête soit toujours en cours, nos services fonctionnent normalement et nous continuons à fonctionner dans un état d'alerte accrue.
Associated Press a rapporté qu'un courtier a publié sur un forum de criminalité en ligne qu'il avait des enregistrements sur 170 000 clients de DC Health Link disponibles à la vente. Associated Press a discuté avec le courtier via un site de chat chiffré et cette personne n'a pas dit si elle avait acheté les données ou fourni des preuves supplémentaires pour étayer ses affirmations.

Cependant, des exemples de données de la violation sur plusieurs clients de DC Health Link ont été publiés en ligne pour les acheteurs potentiels, qui comprenaient des numéros de sécurité sociale, et Associated Press a contacté l'une des personnes concernées par téléphone.

Associated Press a également noté que ce piratage n'est que le dernier d'une série de plusieurs sur les agences fédérales.

Nom : equifax.png Affichages : 835 Taille : 243,5 Ko

Une situation qui rappelle celle d'Equifax

C'est dans un communiqué de presse en septembre 2017 qu'Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet de cette année.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

Equifax a utilisé le mot « admin » comme mot de passe et nom d'utilisateur pour un portail contenant des informations sensibles, selon un recours collectif intenté devant un tribunal fédéral dans le Northern District of Georgia. « Equifax a utilisé le nom d’utilisateur "admin" et le mot de passe "admin" pour protéger un portail utilisé pour gérer les différends relatifs au crédit, un mot de passe qui "est un moyen infaillible de se faire pirater" », indique la plainte.

La poursuite note également qu'Equifax a admis avoir utilisé des serveurs non chiffrés pour stocker les informations personnelles sensibles et a noté que ces informations étaient accessibles au public.

Selon la plainte, quand Equifax, l'une des trois plus grandes agences d'évaluation du crédit à la consommation, a chiffré les données, « elle a laissé les clefs pour déverrouiller le chiffrement sur les mêmes serveurs ouverts au public, facilitant ainsi le retrait du chiffrement des données ».

Le recours collectif a regroupé 373 actions en justice antérieures. Contrairement à d’autres poursuites contre Equifax, celles-ci ne proviennent pas de consommateurs lésés, mais plutôt d’actionnaires alléguant que la société n’a pas divulgué de manière adéquate les risques ou ses pratiques de sécurité.

La poursuite a été intentée par des personnes qui ont acheté des actions d'Equifax entre le 25 février 2016 et le 15 septembre 2017. En septembre 2017, Equifax a annoncé une violation de données exposant les informations personnelles de 147 millions de personnes. La société a conclu un accord de 425 millions de dollars avec la FTC en septembre 2019.

En mars 2018, Equifax a déposé une requête pour que cette affaire soit abandonnée.

« La plainte du demandeur est dépourvue de faits, ce qui suggère même de manière plausible que les défendeurs étaient au courant de toute information contredisant leurs déclarations publiques au moment où elles ont été faites », peut-on lire dans la requête. « Au lieu de cela, les revendications du demandeur reposent presque entièrement sur la notion non étayée et invraisemblable selon laquelle les défendeurs ont omis sciemment et délibérément de corriger la vulnérabilité logicielle en cause dans l'incident de cybersécurité ».

La requête en irrecevabilité a été rejetée par le tribunal en janvier 2019.

« La cybersécurité d’Equifax était dangereusement déficiente », a déclaré le tribunal. « La compagnie s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau ». Le recours collectif se poursuit.

Source : communiqué de presse DC Health Link

Et vous ?

Quelle lecture en faites-vous ?
La situation est-elle, selon vous, plus catastrophique dans le cas de DC Health Link parce qu'il y a des élus ? Devrait-elle, selon vous, les motiver davantage à frapper plus fort et plus vite le poing sur la table ?
Que pensez-vous de la réaction de DC Health Link ?
Êtes-vous d'accord avec les internautes qui crient à l'incompétence de DC Health Link bien que rien n'ait encore filtré de l'enquête (contrairement à Equifax et sa cybersécurité extrêmement répréhensible avec son mot de passe « admin » ou le fait que l'entreprise encore « s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau » ?
De façon plus générale, ce type d'incident illustre-t-il, selon vous, la raison pour laquelle les compagnies disposant d'informations sensibles ont le devoir de ne pas lésiner sur leur cybersécurité ?