L’organisation à but non lucratif de dons de sang OneBlood confirme que les informations personnelles des donneurs ont été volées lors d’une attaque par ransomware l’été dernier.
OneBlood a d’abord informé le public de l’attaque le 31 juillet 2024, notant que les acteurs des ransomwares avaient crypté ses machines virtuelles, obligeant l’organisation de soins de santé à revenir à l’utilisation de processus manuels.
OneBlood est un fournisseur de sang pour plus de 250 hôpitaux à travers les États-Unis, l’attaque ayant entraîné des retards dans la collecte, les tests et la distribution du sang, entraînant des protocoles de « pénurie critique de sang » dans certaines cliniques.
À l’époque, l’organisme à but non lucratif avait lancé un appel urgent pour des dons O positifs, O négatifs et de plaquettes, qui sont universellement compatibles et peuvent être utilisés dans des transfusions urgentes.
La semaine dernière, OneBlood a commencé à envoyer des notifications de violation de données aux personnes touchées pour les informer que son enquête sur l’incident était terminée le 12 décembre 2024 et a déterminé que la date exacte de la violation était le 14 juillet 2024.
L’auteur de la menace a conservé l’accès au réseau de OneBlood jusqu’au 29 juillet, un jour après que l’organisation de soins de santé a découvert la violation.
« Notre enquête a déterminé qu’entre le 14 et le 29 juillet 2024, certains fichiers et dossiers ont été copiés à partir de notre réseau sans autorisation », indique la notification de violation de données OneBlood.
« L’enquête a déterminé que votre nom et votre numéro de sécurité sociale figuraient dans les fichiers et dossiers concernés », précise le même document.
Bien que les centres de collecte de sang collectent généralement plus d’informations telles que les numéros de téléphone, les adresses électroniques et physiques, les données démographiques et les antécédents médicaux, les données exposées sont limitées aux noms et aux numéros de sécurité sociale.
Les noms et les numéros de sécurité sociale peuvent potentiellement être utilisés pour effectuer un vol d’identité et une fraude financière, et comme ils ne peuvent pas être modifiés facilement, le risque persiste pendant de nombreuses années.
Pour atténuer ce risque, OneBlood a joint des codes d’activation dans la lettre pour un service gratuit de surveillance du crédit d’un an, dont les destinataires de la notification bénéficient jusqu’au 9 avril 2025.
De plus, les personnes touchées devraient envisager de placer des gels de crédit et des alertes à la fraude sur leurs comptes pour éviter des dommages financiers.
Bien que OneBlood ait respecté sa promesse initiale d’informer les personnes touchées de l’exposition potentielle des données, les six mois de retard ont mis ces personnes en danger.
Le nombre de personnes touchées par l’attaque de ransomware chez OneBlood n’a pas été divulgué.