le Association dentaire américaine (ADA) dit qu’il a peut-être envoyé par inadvertance des clés USB contenant des logiciels malveillants à des milliers de cabinets dentaires à travers le pays.
Le problème est apparu pour la première fois dans une publication sur le Forum sur la sécurité des rapports DSL. Membre DSLR « Mike » de Pittsburgh s’est intéressé à l’intégrité d’une clé USB que l’ADA a envoyée aux membres pour partager des « codes de procédure dentaire » mis à jour – des codes que les cabinets dentaires utilisent pour suivre les procédures à des fins de facturation et d’assurance.
« Oh wow, l’ADA généralement incompétent vient de m’envoyer de nouveaux codes », a écrit Mike. « Je parie qu’un génie du marketing a eu cette merveilleuse idée au lieu de la rendre téléchargeable. J’ai hâte de brancher une clé USB inconnue sur mon ordinateur qui a ISP/HIPAA dessus… » [link added].
Effectivement, Mike a regardé le code à l’intérieur de l’un des fichiers sur le lecteur flash et a trouvé qu’il essayait de s’ouvrir une page Web qui a longtemps été liée à la distribution de logiciels malveillants. Le domaine est utilisé par des escrocs pour infecter les visiteurs avec des logiciels malveillants qui permettent aux attaquants de prendre le contrôle total de l’ordinateur Windows infecté.
Jointe par BreachTrace, l’ADA a déclaré avoir envoyé l’e-mail suivant aux membres qui ont partagé leur adresse e-mail avec l’organisation :
« Nous avons reçu une poignée de rapports indiquant que des logiciels malveillants ont été détectés sur certains lecteurs flash inclus dans le manuel CDT 2016 », a déclaré l’ADA. « Le « lecteur flash » est le périphérique de stockage USB de la taille d’une carte de crédit qui contient une copie électronique du manuel CDT 2016. Il se trouve dans une poche à l’intérieur de la couverture arrière du manuel. Votre logiciel antivirus devrait détecter le logiciel malveillant s’il est présent. Cependant, si vous n’avez pas utilisé votre clé USB CDT 2016, veuillez la jeter.
Pour vous donner accès à une version électronique du manuel CDT 2016, nous vous offrons la possibilité de télécharger la version PDF du manuel CDT 2016 qui était incluse sur la clé USB.
Pour télécharger la version PDF du manuel CDT :
1. Cliquez sur le lien »ebusiness.ada.org/login/ ··· ion.aspx
2. Connectez-vous avec votre identifiant et votre mot de passe ADA.org
3. Après vous être connecté, vous serez automatiquement dirigé vers une page montrant CDT 2016 Digital Edition.
4. Cliquez sur le bouton « Télécharger » pour enregistrer le fichier sur votre ordinateur afin de l’utiliser.Si vous avez de la difficulté à accéder ou à télécharger le fichier, veuillez composer le 1.800.947.4746 et un conseiller du service aux membres se fera un plaisir de vous aider.
La plupart des lecteurs flash ne contiennent pas le Malware. Si vous avez déjà utilisé votre clé USB et qu’elle a fonctionné comme prévu (elle affichait un menu renvoyant aux chapitres du manuel CDT 2016), vous pouvez continuer à l’utiliser.
Nous nous excusons si ce problème vous a causé des désagréments et nous vous remercions d’être un client précieux d’ADA.
Cet incident pourrait donner un nouveau sens au terme « canal radiculaire ». Il n’est pas clair comment l’ADA pourrait déclarer que l’antivirus devrait détecter le logiciel malveillant, car actuellement seuls certains des nombreux outils antivirus disponibles signaleront le lien du logiciel malveillant comme malveillant.
En réponse aux questions de cet auteur, l’ADA a déclaré que le support USB avait été fabriqué en Chine par un sous-traitant d’un fournisseur de l’ADA et que quelque 37 000 appareils avaient été distribués. L’ADA à but non lucratif est la plus grande association dentaire du pays, avec plus de 159 000 membres.
« Après enquête, l’ADA a conclu que seul un petit pourcentage des périphériques USB fabriqués étaient infectés », a écrit l’organisation dans un communiqué envoyé par courrier électronique. «Il est à noter qu’il est supposé que l’une des nombreuses machines de duplication utilisées par le fabricant a été infectée lors d’un cycle de production pour un autre client. Cette machine infectée a infecté notre image propre pendant l’un de nos trois cycles de production. Nos tests d’assurance qualité aléatoires n’ont détecté aucun appareil infecté. Depuis cet incident, l’ADA a commencé à examiner s’il fallait continuer à utiliser des supports physiques pour distribuer les produits.