Johnson & Johnson Health Care Systems (« Janssen ») a informé ses clients CarePath que leurs informations sensibles ont été compromises lors d’une violation de données tierce impliquant IBM.
IBM est un fournisseur de services technologiques pour Janssen ; plus précisément, il gère l’application CarePath et la base de données prenant en charge ses fonctions.
CarePath est une application conçue pour aider les patients à accéder aux médicaments Janssen, offrir des réductions et des conseils économiques sur les ordonnances éligibles, fournir des conseils sur la couverture d’assurance, et servir à reclasser les médicaments et à administrer des alertes.
Selon l’avis publié sur le site de Janssen, la société pharmaceutique a pris connaissance d’une méthode jusqu’alors non documentée qui pourrait permettre à des utilisateurs non autorisés d’accéder à la base de données CarePath.
L’entreprise l’a signalé à IBM, qui a rapidement corrigé la faille de sécurité et lancé une enquête interne pour déterminer si quelqu’un avait exploité la faille.
Malheureusement, l’enquête qui s’est terminée le 2 août 2023 a montré que des utilisateurs non autorisés ont accédé aux informations d’utilisateur CarePath suivantes :
- Nom et prénom
- Coordonnées
- Date de naissance
- Informations sur l’assurance maladie
- Informations sur les médicaments
- Informations sur l’état de santé
L’exposition affecte les utilisateurs de CarePath qui se sont inscrits aux services en ligne de Janssen avant le 2 juillet 2023, ce qui pourrait indiquer que la violation s’est produite à cette date ou que la base de données violée était une sauvegarde.
Les numéros de sécurité sociale et les données des comptes financiers n’ont pas été conservés dans la base de données piratée, de sorte que ces détails critiques n’ont pas été divulgués.
De plus, la société pharmaceutique a précisé que cet incident de sécurité n’impactait pas les patients souffrant d’hypertension pulmonaire de Janssen.
Les données compromises pourraient servir de support à des attaques très efficaces de phishing, d’escroquerie et d’ingénierie sociale, et compte tenu de la valeur des données médicales, il y a de fortes chances qu’elles soient vendues à un prix plus élevé sur les marchés du darknet.
IBM a publié une annonce distincte concernant l’incident, indiquant que rien n’indique que les données volées aient été utilisées à mauvais escient. Néanmoins, IBM exhorte les utilisateurs de Janssen CarePath à rester vigilants et à surveiller de près leurs relevés de compte pour détecter toute activité suspecte.
En outre, le géant de la technologie propose désormais gratuitement une surveillance du crédit d’un an à toutes les personnes concernées afin de les protéger contre la fraude.
Les deux annonces partagent des numéros gratuits auxquels les fournisseurs et les utilisateurs peuvent appeler pour répondre à leurs questions sur l’incident ou obtenir de l’aide pour s’inscrire aux services de surveillance du crédit.
IBM fait également partie des centaines d’entités piratées par le ransomware Clop plus tôt cette année, lorsque les auteurs de menaces notoires ont exploité une vulnérabilité zero-day sur le logiciel MOVEit Transfer utilisé par de nombreuses organisations dans le monde.
Il y a quelques semaines, le Département de politique et de financement des soins de santé du Colorado (HCPF) a informé quatre millions de personnes que leurs données personnelles et médicales avaient été exposées en raison de la violation d’IBM.
Breachtrace a demandé à IBM si cet incident était lié à l’attaque MOVEit, et un porte-parole nous a dit qu’il s’agissait d’un incident distinct provoqué par différents acteurs de la menace.
Concernant la question du nombre de personnes touchées, IBM a déclaré à Breachtrace qu’il informait tous les utilisateurs de CarePath.