Le fournisseur de santé mentale pédiatrique Brightline avertit les patients qu’il a subi une violation de données affectant 783 606 personnes après qu’un gang de rançongiciels a volé des données en utilisant une vulnérabilité de jour zéro dans sa plate-forme de partage de fichiers sécurisé Fortra GoAnywhere MFT.
Brightline est un fournisseur de santé mentale et comportementale offrant des conseils virtuels aux enfants, aux adolescents et à leurs familles.
Dans un nouvel « avis de sécurité des données » affiché sur le site Web de la société, Brightline a confirmé que des données avaient été volées sur son service GoAnywhere MFT contenant des informations de santé protégées.
Ces attaques ont été menées par le gang de rançongiciels Clop, qui a utilisé une vulnérabilité zero-day identifiée comme CVE-2023-0669 pour prétendument voler les données de 130 entreprises.
Selon la dernière mise à jour de Fortra sur son enquête, les acteurs de la menace ont commencé à exploiter cette vulnérabilité depuis le 18 janvier 2023.
Brightline a été répertorié sur le portail d’extorsion de Clop le 16 mars 2023, indiquant que la startup de la santé faisait partie des entreprises que les acteurs du ransomware ont violées lors de leur attaque à grande échelle.
L’enquête interne de l’entreprise a révélé que les données volées par le gang de rançongiciels Clop comprenaient les informations personnelles suivantes :
- Noms complets
- Adresses physiques
- Dates de naissance
- Numéros d’identification des membres
- Date de couverture du plan de santé
- Noms des employeurs
L’avis précise que les identifiants des membres Aetna n’ont pas été compromis en raison de cet incident.
« Dès que nous avons pris connaissance de l’incident, nous avons pris des mesures immédiates pour enquêter en confirmant que Fortra avait désactivé les informations d’identification de l’utilisateur non autorisé, désactivé le service et reconstruit notre version afin qu’elle ne soit plus vulnérable », lit-on dans l’avis de sécurité de Brightline.
« En outre, nous avons mis en place des mesures de sécurité supplémentaires, notamment en limitant l’accès continu aux utilisateurs vérifiés, en supprimant toutes nos données du service et en poursuivant les mesures en cours pour réduire l’exposition des données jusqu’à ce qu’une solution alternative de transfert de fichiers soit identifiée et mise en œuvre. »
Les partenariats étendus de Brightline avec des instituts de santé et des entreprises aux États-Unis ont entraîné un incident de sécurité affectant de nombreuses entités. Cela inclut des organisations bien connues telles que Diageo, Nintendo of America Inc., l’Université de Harvard, l’Université de Stanford et le Boston Children’s Hospital.
La liste complète des entités concernées est disponible ici.
Les données publiées aujourd’hui sur le portail de violation du département américain de la Santé et des Services sociaux indiquent que l’incident a touché un total de 783 606 personnes.
Toutefois, ce chiffre peut augmenter au fur et à mesure que les enquêtes internes progressent. Brightline n’a soumis que huit entrées individuelles sur le portail gouvernemental, correspondant vraisemblablement à huit entités concernées, mais son site Web répertorie un nombre plus important d’organisations touchées.
Brightline offre à toutes les personnes concernées deux ans de services gratuits de vol d’identité et de surveillance du crédit via Cyberscout.