UnitedHealth a confirmé pour la première fois que plus de 100 millions de personnes se sont fait voler leurs informations personnelles et leurs données de santé lors de l’attaque du ransomware Change Healthcare, ce qui en fait la plus grande violation de données de santé de ces dernières années.
En mai, Andrew Witty, PDG de UnitedHealth, a averti lors d’une audience au Congrès que « peut-être un tiers » de toutes les données de santé américaines avaient été exposées lors de l’attaque.
Un mois plus tard, Change Healthcare a publié une notification de violation de données avertissant que l’attaque de ransomware de février sur Change Healthcare exposait une « quantité substantielle de données » pour une « proportion substantielle de personnes en Amérique. »
Aujourd’hui, le portail de violation de données du Bureau des Droits civils du Département de la Santé et des Services sociaux des États-Unis a mis à jour le nombre total de personnes touchées à 100 millions, ce qui en fait la première fois qu’UnitedHealth, la société mère de Change Healthcare, a attribué un numéro officiel à la violation.
« Le 22 octobre 2024, Change Healthcare a informé l’OCR qu’environ 100 millions d’avis individuels avaient été envoyés concernant cette violation », lit-on dans une FAQ mise à jour sur le site Web de l’OCR.
Les notifications de violation de données envoyées par Change Healthcare depuis juin indiquent qu’une énorme quantité d’informations sensibles ont été volées lors de l’attaque de ransomware de février, notamment:
- Informations sur l’assurance maladie (telles que les plans/polices de santé primaires, secondaires ou autres, les compagnies d’assurance, les numéros d’identification des membres/groupes et les numéros d’identification du payeur Medicaid-Medicare-government);
- Informations sur la santé (telles que les numéros de dossier médical, les prestataires, les diagnostics, les médicaments, les résultats des tests, les images, les soins et le traitement);
- Les informations de facturation, de réclamation et de paiement (telles que les numéros de réclamation, les numéros de compte, les codes de facturation, les cartes de paiement, les informations financières et bancaires, les paiements effectués et le solde dû); et/ou
- D’autres informations personnelles telles que les numéros de sécurité sociale, les permis de conduire ou les numéros d’identification d’État, ou les numéros de passeport.
Les informations peuvent être différentes pour chaque individu et les antécédents médicaux de chacun n’ont pas été exposés.
L’attaque ransomware Change Healthcare
Cette violation de données a été causée par une attaque de ransomware en février contre la filiale Change Healthcare de UnitedHealth, qui a entraîné des pannes généralisées dans le système de santé américain.
La perturbation des systèmes informatiques de l’entreprise a empêché les médecins et les pharmacies de déposer des réclamations et a empêché les pharmacies d’accepter des cartes d’ordonnance à rabais, obligeant les patients à payer le prix fort pour les médicaments.
Le gang de ransomwares BlackCat, alias ALPHV, a mené l’attaque, en utilisant des informations d’identification volées pour violer le service d’accès à distance Citrix de l’entreprise, qui n’avait pas activé l’authentification multifacteur.
Au cours de l’attaque, les auteurs de la menace ont volé 6 To de données et finalement crypté des ordinateurs sur le réseau, obligeant l’entreprise à fermer ses systèmes informatiques pour empêcher la propagation de l’attaque.
Le groupe UnitedHealth a admis avoir payé une demande de rançon pour recevoir un déchiffreur et pour que les acteurs de la menace suppriment les données volées. Le paiement de la rançon aurait été de 22 millions de dollars, selon l’affilié du ransomware BlackCat qui a mené l’attaque.
Ce paiement de rançon était censé être partagé entre l’affilié et l’opération de ransomware, mais le BlackCat s’est soudainement arrêté, volant l’intégralité du paiement pour lui-même et tirant une arnaque de sortie
Cependant, ce n’était pas la fin des problèmes de Change Healthcare, car l’affilié a affirmé qu’il disposait toujours des données de l’entreprise et ne les avait pas supprimées comme promis. L’affilié s’est associé à une nouvelle opération de ransomware nommée RansomHub et a commencé à divulguer certaines des données volées, exigeant un paiement supplémentaire pour que les données ne soient pas publiées.
L’entrée de Change Healthcare sur le site de fuite de données de RansomHub a mystérieusement disparu quelques jours plus tard, indiquant peut-être que United Health a payé une deuxième demande de rançon.
UnitedHealth a déclaré en avril que l’attaque du ransomware Change Healthcare avait causé des pertes de 872 millions de dollars, qui ont augmenté dans le cadre des bénéfices du Troisième trimestre 2024 pour atteindre 2,45 milliards de dollars attendus pour les neuf mois précédant le 30 septembre 2024,