PurFoods, qui exerce ses activités aux États-Unis sous le nom de « Mom’s Meals », met en garde contre une violation de données après que les informations personnelles de 1,2 million de clients et d’employés ont été volées lors d’une attaque de ransomware.
Mom’s Meals est un service de livraison de repas médicaux destiné aux clients payant eux-mêmes ou aux personnes éligibles à l’aide gouvernementale dans le cadre des programmes Medicaid et Older Americans Act.
La société prévient avoir identifié une activité suspecte sur ses réseaux le 22 février 2023, lorsque des fichiers présents sur ses systèmes avaient été cryptés par un ransomware.
« Après avoir identifié un comportement suspect sur un compte le 22 février 2023, nous avons lancé une enquête avec l’aide de spécialistes tiers », peut-on lire dans l’avis.
« L’enquête a déterminé que nous avons subi une cyberattaque entre le 16 janvier 2023 et le 22 février 2023, qui comprenait le cryptage de certains fichiers de notre réseau. »
Les signes de problèmes de réseau sont devenus évidents début mars 2023, lorsqu’un employé anonyme de Mom’s Meals a informé un média de l’Iowa qu’ils avaient manqué leur travail et payé pendant une semaine en raison d’un « problème Internet ».
L’enquête de PurFoods a révélé que l’entreprise avait été victime d’une violation le 16 janvier 2023 et que des outils couramment utilisés pour voler des données ont été trouvés sur le réseau.
Une enquête plus approfondie s’est terminée le 10 juillet 2023, confirmant que les pirates avaient accédé aux données suivantes :
- Date de naissance
- Le permis de conduire
- Numéro d’identification de l’État
- Informations sur le compte financier
- Informations sur la carte de paiement
- Numéro de dossier médical
- Identification Medicare et Medicaid
- Information sur la santé
- Informations sur le traitement
- Code de diagnostic
- Catégorie de repas et coût
- Informations sur l’assurance maladie
- Numéro d’identification du patient.
- Numéros de sécurité sociale (pour >1 % des personnes exposées)
La violation de données affecte les personnes qui ont reçu des colis Mom’s Meals, les employés actuels et anciens, ainsi que les entrepreneurs indépendants.
Selon le dossier de violation de données de PurFoods déposé auprès du bureau du procureur général du Maine, l’incident a touché 1 237 681 personnes.
Ces personnes bénéficieront d’une couverture gratuite pendant 12 mois de services de surveillance du crédit et de protection de l’identité via Kroll.
Les données exposées aux cybercriminels sont très sensibles et peuvent permettre aux acteurs malveillants de mener des escroqueries élaborées, du phishing et des attaques d’ingénierie sociale.
Cela dit, les clients de Mom’s Meals doivent rester très vigilants quant à toutes les communications entrantes, que ce soit par e-mail, SMS ou appels téléphoniques.