Une fuite de données a touché l’administrateur de prestations dentaires DentaQuest, et les informations sensibles d’environ 2,6 millions de comptes ont été exposées.
L’incident de sécurité est apparu au grand jour le mois dernier. Le groupe d’extorsion notoire ShinyHunters a listé l’entreprise sur son site de divulgation de données et a affirmé avoir dérobé plus de 234 Go de données.
Les pirates ont finalement publié ces données publiquement, après avoir déclaré que les négociations avec la société avaient échoué.
DentaQuest, qui fait partie de Sun Life, est l’un des plus grands administrateurs de prestations dentaires aux États-Unis. La société gère des régimes d’assurance dentaire et des réseaux de prestataires pour des programmes Medicaid, des plans Medicare Advantage, des employeurs, des assureurs santé et des clients individuels.
L’entreprise déclare desservir 35 millions de clients, opérer dans les 50 États américains et disposer d’un réseau de 140 000 dentistes et spécialistes.
Le 2 juin, DentaQuest a confirmé sur son site web que ses réseaux avaient été piratés et que cet incident avait entraîné une perturbation limitée du service client.
Une déclaration indique que « DentaQuest gère activement un incident de cybersécurité impliquant un accès non autorisé à une partie limitée de notre réseau ».
Elle ajoute : « Dès la découverte de l’incident initial, nous avons pris des mesures immédiates pour sécuriser notre environnement, contenir l’attaque et atténuer la menace. »
« Nos systèmes restent entièrement opérationnels, et nous continuons à servir nos clients avec des perturbations limitées. »
La société a aussi déclaré avoir fait appel à des experts externes pour aider à l’enquête et déterminer l’étendue des données compromises.
Le service d’alerte aux fuites de données Have I Been Pwned a analysé les informations divulguées et a trouvé qu’elles contenaient des enregistrements pour 2,6 millions de comptes. L’ensemble de données exposé comprenait :
- Des adresses e-mail
- Des noms complets
- Des numéros de téléphone
- Des pièces d’identité officielles
- Des informations sur l’assurance santé
- Le genre
- Les dates de naissance
Même si la déclaration de DentaQuest n’a pas confirmé que la fuite de données affectait ses clients, le service Have I Been Pwned est reconnu pour valider les jeux de données divulgués en utilisant plusieurs méthodes de vérification.
Have I Been Pwned a aussi précisé qu’environ 66 % des enregistrements exposés étaient déjà présents dans sa base de données à cause d’incidents antérieurs touchant d’autres organisations et services.
Les personnes dont les informations ont pu être exposées lors de cet incident doivent faire preuve de vigilance face à toutes les communications qu’elles reçoivent. Les données divulguées augmentent en effet le risque d’attaques d’ingénierie sociale et de hameçonnage.