Un nouveau record inquiétant a été établi dans le secteur de la santé, avec un cyberattaque ayant touché 100 millions de personnes, mettant en lumière des failles alarmantes en matière de sécurité. Ce braquage de données, revendiqué par un groupe criminel, pourrait avoir des conséquences dévastatrices pour de nombreux citoyens.
Jusqu’à présent, la pire violation de données de santé s’était produite en 2015, compromettant 78,8 millions de personnes. Mais la situation a pris une tournure encore plus grave.
Ce cyberattaque a touché un nouveau record de 100 millions de personnes et a ciblé la plus grande entreprise de santé au monde (en termes de revenus), UnitedHealth Group.
L’incident a eu lieu en février 2024, lorsqu’une attaque par ransomware a provoqué des perturbations dans les pharmacies à l’échelle nationale, comme l’a rapporté Reuters. L’objectif était Change Healthcare, une filiale de UnitedHealth Group qui gère les finances des prestataires médicaux. Les cybercriminels auraient réussi à pénétrer dans le système des employés de Change Healthcare en raison de l’absence d’authentification multi-facteur pour les identifiants de connexion.
Un communiqué du Comité des finances du Sénat américain a décrit les conséquences cauchemardesques du piratage, qui ont inclus des ordonnances non honorées, des médecins et hôpitaux non rémunérés, ainsi que des compagnies d’assurance incapables de rembourser les prestataires médicaux. « Le piratage de Change Healthcare est considéré par beaucoup comme la plus grande perturbation de la cybersécurité dans le secteur de la santé de l’histoire américaine », a déclaré le sénateur Ron Wyden, D-Oregon, dans le communiqué du comité.
Environ un tiers de tous les citoyens américains sont d’une manière ou d’une autre connectés à l’organisation, ce qui inclut de nombreuses données personnelles. Nous savions tous que la situation était grave, le PDG de Change Healthcare ayant déclaré que les fichiers volés comprenaient des données de santé personnelles pour « une proportion substantielle de la population américaine », d’après TechCrunch.
L’attaque aurait été revendiquée par le groupe de ransomware BlackCat, comme l’a confirmé Change Healthcare. Un message sur le dark web du groupe basé en Russie a ensuite affirmé avoir volé les informations de santé et des patients de millions d’Américains.
Mais maintenant, le Département de la santé et des services sociaux des États-Unis a mis à jour le chiffre des personnes touchées dans son portail de violations de données pour révéler l’ampleur réelle de la situation : un effrayant 100 millions de personnes. Un journal de l’industrie a même suggéré que ce chiffre rond de 100 millions pourrait évoluer à l’avenir, comme l’a rapporté DailyMail. Espérons que cela signifie que le nombre réel pourrait être plus petit, mais il pourrait également évoluer dans l’autre sens.
L’ampleur de la situation rend insignifiante la violation de données de 5,3 millions qui avait touché les systèmes de santé mexicains, rapportée hier.