Lorsque votre carte de crédit est volée parce qu’un commerçant avec lequel vous avez fait affaire a été piraté, il est souvent assez facile pour les enquêteurs de déterminer quelle entreprise a été victime. Le processus de deviner la provenance des dossiers de santé volés, cependant, est beaucoup plus délicat car ces dossiers sont généralement traités ou gérés par un gant d’entreprises tierces, dont la plupart n’ont aucune relation directe avec le patient ou le client finalement lésé par la violation.
Cela m’a été rappelé le mois dernier, après avoir reçu un tuyau d’une source d’une société de cyber-intelligence basée en Californie qui a demandé à rester anonyme. Ma source avait découvert un vendeur sur le marché darknet AlphaBay qui publiait des données de santé volées dans une sous-section du marché appelée «Random DB ripoffs» («DB», bien sûr, est l’abréviation de «base de données»).
Finalement, ce même fraudeur a divulgué un gros fichier texte intitulé « Tenet Health Hilton Medical Center », qui contenait le nom, l’adresse, le numéro de sécurité sociale et d’autres informations sensibles sur des dizaines de médecins à travers le pays.
Contacté par BreachTrace, Principe Santé les responsables ont déclaré que les données n’avaient pas été volées dans ses bases de données, mais plutôt à une société appelée InCompass Santé. Il s’avère qu’InCompass a révélé une violation en août 2014, qui se serait produite après qu’un sous-traitant de l’un des fournisseurs de services de l’entreprise n’ait pas réussi à sécuriser un serveur informatique contenant des informations de compte. L’entreprise concernée était 24 médecins de l’Ontarioune filiale d’InCompass Healthcare.
« La violation a touché environ 10 000 patients traités dans 29 établissements à travers les États-Unis et environ 40 médecins employés », a écrit Rebecca Kirkhamporte-parole d’InCompass.
« En conséquence, une quantité limitée d’informations personnelles peut avoir été exposée sur Internet entre le 1er décembre 2013 et le 17 avril 2014, a écrit Kirkham dans un communiqué envoyé par e-mail. Les informations susceptibles d’avoir été exposées comprenaient les noms des patients, les numéros de facture, les codes de procédure, les dates de service, les montants des frais, le solde dû, les numéros de police et les commentaires sur l’état de la facturation. Le numéro de sécurité sociale, l’adresse du domicile, le numéro de téléphone et la date de naissance du patient ne figuraient pas dans les fichiers susceptibles d’être exposés. De plus, aucun dossier médical de patient ou information de compte bancaire n’a été mis en danger. Les informations sur le médecin susceptibles d’avoir été exposées comprenaient le nom du médecin, l’établissement, le numéro du fournisseur et le numéro de sécurité sociale.
Kirkham a déclaré jusqu’à ce qu’il soit contacté par ce journaliste, InCompass « n’avait reçu aucune indication que des informations personnelles avaient été acquises ou utilisées à des fins malveillantes ».
Alors, qui était le sous-traitant qui a divulgué les données ? Selon PHIprivacy.net (et maintenant confirmé par InCompass), le sous-traitant responsable était Services TVPune McKesson filiale fournissant des services de facturation médicale, qui a laissé plus de 10 000 informations sur les patients exposées via la recherche Google pendant plus de quatre mois.
Comme le montre cet incident, une violation chez un fournisseur de services ou une société de facturation des soins de santé peut avoir un impact important sur l’ensemble du système de santé, mais peut être assez difficile à reconstituer.
Pourtant, toutes les violations impliquant des informations sur la santé ne sont pas difficiles à remonter jusqu’à la source. En septembre 2014, j’ai découvert un fraudeur sur la communauté Web sombre d’Evolution Market, aujourd’hui disparue, qui vendait des dossiers d’assurance-vie pour moins de 7 $ chacun. Cette brèche était assez facilement liée à Torchmark Corp., une société de portefeuille d’assurance basée au Texas ; le nom de la filiale de l’entreprise était collé sur des dossiers volés énumérant les antécédents médicaux des candidats.
DOSSIERS DE SANTÉ SE DÉPLACER
Les dossiers médicaux sont d’énormes cibles pour les fraudeurs, car ils contiennent généralement toutes les informations dont les voleurs auraient besoin pour commettre des méfaits au nom de la victime – de l’ouverture frauduleuse de nouvelles lignes de crédit au dépôt de fausses demandes de remboursement d’impôt auprès de l’Internal Revenue Service. L’année dernière, un grand nombre de médecins de plusieurs États se sont manifestés pour dire qu’ils avaient apparemment été ciblés par des fraudeurs de remboursement d’impôts, mais n’ont pas pu déterminer la source des données divulguées. Il y a de fortes chances que les escrocs l’aient volé à des prestataires médicaux piratés comme PST Services et autres.
En mars 2015, Actualités informatiques de la santé a publié une liste des prestataires de soins de santé qui ont subi des violations de données depuis 2009, en utilisant les informations du ministère de la Santé et des Services sociaux. Ces données incluent les violations HIPAA signalées par 1 149 entités couvertes et associés commerciaux, et couvrent quelque 41 millions d’Américains. Curieusement, la base de données ne mentionne pas les quelque 80 millions de numéros de sécurité sociale et autres données mis en péril dans le piratage d’Anthem rendu public en février 2015 (ni les 11 millions d’enregistrements perdus dans le piratage de Premera découvert à la mi-mars 2015).
Les données volées sensibles publiées sur les forums de cybercriminalité peuvent rapidement se propager aux malfaiteurs et aux vauriens du monde entier. Dans une expérience menée plus tôt ce mois-ci, la société de sécurité Bitglass a synthétisé 1 568 faux noms, numéros de sécurité sociale, numéros de carte de crédit, adresses et numéros de téléphone qui ont été enregistrés dans une feuille de calcul Excel. La feuille de calcul a ensuite été transmise via le proxy de l’entreprise, qui a automatiquement apposé un filigrane sur le fichier. Les chercheurs l’ont configuré de sorte qu’à chaque fois que le fichier a été ouvert, le filigrane persistant (qui, selon Bitglass, survit au copier-coller et à d’autres manipulations de fichiers), « appelé à la maison » pour enregistrer des informations de visualisation telles que l’adresse IP, l’emplacement géographique et le type d’appareil.
La société a publié la feuille de calcul des identités fabriquées de manière anonyme sur les marchés de la cybercriminalité sur le Dark Web. Le résultat a été qu’en moins de deux semaines, le fichier a voyagé dans 22 pays sur les cinq continents, a été consulté plus de 1 100 fois. « De plus, l’analyse de l’heure, de l’emplacement et de l’adresse IP a révélé un taux d’activité élevé parmi deux groupes de téléspectateurs similaires, indiquant la possibilité de deux syndicats de la cybercriminalité, l’un opérant au Nigeria et l’autre en Russie », conclut le rapport.