Le département des services sociaux du Missouri avertit que les informations de santé protégées de Medicaid ont été exposées lors d’une violation de données après qu’IBM a subi une attaque de vol de données MOVEit.
L’attaque a été menée par le gang de rançongiciels Clop, qui a commencé à pirater les serveurs MOVEit Transfer le 27 mai en utilisant une vulnérabilité zero-day identifiée comme CVE-2023-34362.
Ces attaques ont permis aux acteurs de la menace de voler des données à plus de 600 entreprises dans le monde, y compris des entreprises, des organisations éducatives, des agences gouvernementales fédérales et des agences étatiques locales.
Le gang des rançongiciels devrait gagner entre 75 et 100 millions de dollars grâce à ces attaques.
Les données sur la santé du Missouri exposées
Hier, le département des services sociaux du Missouri a révélé une violation de données qui a exposé des informations sur la santé liées aux services Medicaid dans l’État.
« Le Département des services sociaux du Missouri (DSS) répond à un incident de sécurité des données de mai 2023 survenu avec IBM Consulting (IBM) qui impliquait le logiciel MOVEit Transfer de Progress Software », lit-on dans la notification de violation de données du DSS.
« IBM est un fournisseur qui fournit des services à DSS, l’agence d’État qui fournit des services Medicaid aux Missouriens éligibles. La vulnérabilité des données n’a pas eu d’impact direct sur les systèmes DSS, mais a eu un impact sur les données appartenant à DSS. DSS a pris des mesures immédiates en réponse à cet incident qui sont en cours. »
IBM a confirmé hier à Breachtrace que son serveur MOVEit Transfer avait été piraté lors de ces attaques, permettant le vol de données.
« IBM a travaillé en partenariat avec le département des services sociaux du Missouri pour déterminer et minimiser l’impact de l’incident impliquant MOVEit Transfer, un programme de transfert de données non IBM fourni par Progress Software », a déclaré IBM à Breachtrace dans un communiqué.
« Après avoir reçu un bulletin de sécurité de Progress, nous avons interrompu l’interaction de MOVEit Transfer avec les systèmes informatiques du département afin d’éviter tout impact supplémentaire sur les citoyens du Missouri et leurs données. Aucun système IBM n’a été affecté. »
Après avoir analysé les données volées, DSS a confirmé qu’elles contenaient des informations de santé protégées pour les participants à Medicaid dans le Missouri.
« Les informations impliquées dans cet incident peuvent inclure le nom d’une personne, le numéro de client du département (DCN), la date de naissance, l’éventuel statut d’éligibilité aux prestations ou la couverture et les informations sur les réclamations médicales », explique la notification du DSS.
« DSS examine toujours les fichiers associés à cet incident. Cela nous prendra un certain temps. Ces fichiers sont volumineux, ne sont pas en anglais courant et ne sont pas facilement lisibles en raison de la façon dont ils sont formatés. »
L’agence a déclaré à Breachtrace que l’enquête a révélé que seuls deux (2) numéros de sécurité sociale ont été exposés et qu’aucune information bancaire n’a été identifiée.
DSS avertit qu’en raison de la taille des fichiers volés et de la façon dont ils sont formatés, l’analyse des données et la détermination complète de l’étendue de la violation de données peuvent prendre un certain temps.
Cependant, DSS a déclaré à Breachtrace que par prudence, ils envoyaient des notifications à tous les participants à Missouri Medicaid qui étaient inscrits en mai 2023.
Le département des services sociaux du Missouri suggère que les individus gèlent leur crédit pour empêcher les acteurs de la menace d’ouvrir de nouveaux comptes ou d’emprunter de l’argent en leur nom.
L’agence recommande également aux personnes concernées de surveiller leurs rapports de crédit pour détecter toute activité inhabituelle.
Les attaques de MOVEit Transfer ont eu un impact sur d’autres agences d’État, y compris le département des véhicules automobiles de la Louisiane et de l’Oregon, qui a averti en juin que des millions de pièces d’identité d’État avaient été volées.