645 000 personnes informées du vol de leurs données personnelles de santé après une attaque par phishing

 
Le Département des services à la personne de l’Oregon (DHS) a commencé à informer plus de 600 000 personnes que la confidentialité de leurs données personnelles a été compromise après que le personnel a été dupé en autorisant des pirates à accéder à des millions de courriers électroniques.
Selon l’agence, la faille de sécurité s’est produite le 8 janvier 2019 lorsque neuf employés ont cliqué sur un lien figurant dans un courrier censé être une communication officielle du gouvernement.
L’e-mail de phishing (hameçonnage) ciblé a trompé les membres du personnel en leur demandant d’entrer leurs mots de passe, offrant ainsi aux cybercriminels des informations de connexion qui auraient dû être strictement protégées.
Le 28 janvier, le Département des services à la personne et le Bureau de la sécurité d’entreprise du Département des services administratifs ont été informés de la violation de sécurité après que les employés ont constaté que leurs boîtes aux lettres avaient été consultées et ont confirmé que les pirates avaient pu accéder à environ deux millions de courriels.
Le contenu des e-mails exposés inclut des informations de santé sensibles, des noms, des dates de naissance, des numéros de sécurité sociale, des adresses, des numéros de dossiers et d’autres informations.
La plupart des informations client impliquées dans la violation étaient des pièces jointes, principalement des rapports de santé. Les renseignements sanitaires personnels comprenaient des informations médicales protégées (PHI), couvertes par la Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA). Tous ces types d’informations n’ont pas été exposés pour chaque personne.
Le DHS de l’Oregon, qui supervise un certain nombre de programmes, notamment ceux liés au bien-être de l’enfant, à l’autonomie, aux personnes âgées et aux personnes handicapées, indique qu’il a immédiatement réinitialisé les mots de passe du personnel pour empêcher tout accès ultérieur par les pirates. La police de l’État de l’Oregon a également été informée.
Cependant, il a fallu un certain temps pour que les personnes concernées soient mises au courant que leurs données personnelles pouvaient maintenant être entre des mains malveillantes.
Dans une Foire Aux Questions, le DHS de l’État de l’Oregon explique pourquoi son enquête a pris autant de temps :

En pareil cas, il faut du temps pour enquêter sur un incident, rassembler les informations pertinentes, identifier les personnes concernées et prendre les décisions qui s’imposent pour aligner les services offerts aux personnes identifiées. Bien que l’accès aux boîtes de messagerie a été coupé avec succès, il a fallu du temps pour examiner de près les deux millions de courriels concernés et déterminer le nombre pouvant contenir des informations personnelles sur les clients bénéficiant de nos services.

Le porte-parole du DHS, Robert Oakes, a décrit la violation de sécurité comme “une attaque par courrier extrêmement sophistiquée“.
Il est clair que le DHS de l’Oregon en sait plus que nous sur ce qui s’est réellement passé, mais à première vue, l’attaque ne semble pas si sophistiquée que ça.
Le phishing ciblé est monnaie courante, avec des courriers électroniques soigneusement conçus par des cybercriminels pour avoir l’air authentique aux yeux des membres du personnel et dissimulant souvent leur véritable origine pour sembler provenir d’une source légitime.
Bien qu’il soit difficile d’empêcher complètement ces attaques, les entreprises peuvent réduire le risque de succès d’une attaque par hameçonnage de différentes manières – notamment en mettant en place des règles pour marquer les courriers électroniques provenant de l’extérieur, en déployant un gestionnaire de mots de passe qui refuse de saisir les mots de passe sur des sites non autorisés et en mettant en place une authentification multi-facteurs.
Enfin, le Département des services à la personne de l’Oregon offre une protection contre le vol d’identité aux clients affectés.