Le ministère de la politique et du financement des soins de santé du Colorado (HCPF) alerte plus de quatre millions de personnes d’une violation de données qui a eu un impact sur leurs informations personnelles et de santé.
Colorado HCPF est une agence gouvernementale d’État qui gère les programmes Health First Colorado (Medicaid) et Child Health Plan Plus, et fournit un soutien aux familles à faible revenu, aux personnes âgées et aux citoyens handicapés.
La violation de données a été possible après que le rançongiciel Clop a exploité le MOVEit Transfer zero-day (CVE-2023-34362) dans une campagne de piratage qui a touché des centaines d’organisations dans le monde.
HCPF précise que bien que leurs systèmes n’aient pas été directement compromis, l’exposition des données s’est produite via IBM, leur sous-traitant, qui a utilisé le logiciel MOVEit.
« Après qu’IBM a informé le HCPF qu’il était touché par l’incident MOVEit, le HCPF a immédiatement lancé une enquête pour comprendre si l’incident avait eu un impact sur ses propres systèmes et pour déterminer si les informations de santé protégées des membres de Health First Colorado ou CHP+ avaient été consultées par une partie non autorisée. « , lit-on dans l’avis.
« Alors que HCPF a confirmé qu’aucun autre système ou base de données HCPF n’avait été touché, le 13 juin 2023, l’enquête a identifié que certains fichiers HCPF sur l’application MOVEit utilisée par IBM ont été consultés par l’acteur non autorisé le ou vers le 28 mai 2023 » – Colorado Département de la politique et du financement des soins de santé
L’enquête a révélé que les acteurs de la menace ont réussi à accéder et probablement à exfiltrer des fichiers contenant certaines informations sur les membres de Health First Colorado et CHP+, notamment :
- Noms complets
- Numéros de sécurité sociale (SSN)
- Numéro d’identification Medicaid
- Numéro d’identification de l’assurance-maladie
- Date de naissance
- Adresse du domicile
- Coordonnées
- Informations sur le revenu
- Données démographiques
- Données cliniques (diagnostic, résultats de laboratoire, traitement, médicaments)
- Informations sur l’assurance maladie
Les données ci-dessus peuvent être utilisées pour lancer des attaques efficaces de phishing ou d’ingénierie sociale, et peuvent contribuer à une activité de fraude d’identité ou bancaire.
Au total, les données de 4 091 794 personnes ont été exposées. Pour toutes les personnes qui ont reçu la notification de violation de données, HPCF fournit deux ans de services de surveillance du crédit via Experian pour aider à contrer les tentatives de fraude.
Cette divulgation intervient seulement une semaine après qu’une autre grande organisation d’État du Colorado, le Département de l’enseignement supérieur (CDHE), a révélé qu’une violation massive des données causée par une attaque de ransomware avait touché un grand nombre d’étudiants et d’enseignants.
Le CDHE a déclaré que les acteurs de la menace ont exploité les données volées pour effectuer une double extorsion et crypter les ordinateurs du réseau ; cependant, il n’a pas précisé comment les pirates ont obtenu l’accès au réseau.
En juillet 2023, la Colorado State University a révélé une violation de données résultant de son utilisation du logiciel vulnérable MOVEit Transfer, affectant des dizaines de milliers d’étudiants et de membres du personnel académique.