L’agence fédérale Centers for Medicare & Medicaid Services (CMS) a annoncé plus tôt ce mois-ci que les informations personnelles et de santé de plus de trois millions de bénéficiaires de plans de santé avaient été exposées lors des attaques de ransomware MOVEit Cl0p menées l’année dernière.
Les pirates ont volé les données après avoir violé la Wisconsin Physicians Service (WPS) health Insurance corporation,qui fournissait des services administratifs d’assurance-maladie.
CMS est une agence fédérale au sein du HHS qui administre les principaux programmes de santé du pays, y compris Medicaid et CHIP.
Il supervise les programmes pour s’assurer qu’ils respectent les normes fédérales, fournit un soutien financier, applique les politiques et les réglementations, surveille la qualité et les coûts et aide à réglementer le marché de l’assurance maladie de l’Affordable Care Act (ACA).
Un communiqué de presse de CMS du 6 septembre informait que l’agence et WPS informaient 946 801 personnes bénéficiant de Medicare des informations personnellement identifiables exposées lors des attaques MOVEit qui se sont produites il y a plus d’un an.
Le même jour, l’agence fédérale a signalé sur le portail des violations du Département américain de la Santé et des Services sociaux (HSS) que le nombre total de personnes dont les informations avaient été volées était de 3 112 815 personnes.
Dans des éclaircissements pour Breachtrace, un porte-parole de CMS a expliqué que la différence représentait des personnes décédées ou qui n’étaient pas bénéficiaires de Medicare, mais que WPS avait collecté leurs données dans le cadre de leur travail pour CMS.
Selon le communiqué de presse du CMS, WPS a appliqué les mises à jour de sécurité de Progress Software, le développeur de MOVEit Transfer, début juin 2023 et supposait à l’époque que ses systèmes étaient sûrs.
Cependant, un examen de l’incident en mai 2024 a révélé que les pirates avaient violé le réseau WPS avant que l’entreprise n’applique le correctif de sécurité et n’ait exfiltré certains fichiers.
Le 8 juillet 2024, alors qu’il évaluait toujours le contenu des fichiers volés, CMS a déterminé qu’ils contenaient, entre autres, les informations suivantes:
- Nom
- Numéro de Sécurité Sociale ou Numéro d’Identification Fiscale Individuel
- Date de Naissance
- Adresse Postale
- Sexe
- Numéro de Compte de l’Hôpital
- Dates du Service
- Identifiant de bénéficiaire Medicare (MBI) et / ou Numéro de réclamation d’Assurance Maladie
Au fur et à mesure que l’enquête sur l’incident se poursuit, Experian propose aux personnes touchées un service gratuit de surveillance du crédit de 12 mois pour atténuer les risques liés à l’exposition de leurs données.
Bien que Cl0p ait affirmé qu’il supprimerait les données appartenant aux hôpitaux, aux organisations de santé et aux entités gouvernementales américaines, il est pratiquement impossible pour quiconque de garantir que les données volées n’ont pas été partagées ou vendues sur le dark Web.