Le système de santé publique de Broward Health a révélé un incident de violation de données à grande échelle affectant 1 357 879 personnes.
Broward Health est un système de santé basé en Floride avec plus de trente sites offrant une large gamme de services médicaux et reçoit plus de 60 000 admissions par an.
Le système de santé a révélé une cyberattaque le 15 octobre 2021, lorsqu’un intrus a obtenu un accès non autorisé au réseau de l’hôpital et aux données des patients.
L’organisation a découvert l’intrusion quatre jours plus tard, le 19 octobre, et a immédiatement informé le FBI et le ministère américain de la Justice.
Dans le même temps, tous les employés ont été invités à changer leurs mots de passe utilisateur, et Broward Health a engagé un expert tiers en cybersécurité pour l’aider dans les enquêtes.
Une enquête a révélé que les auteurs de la menace ont eu accès aux informations médicales personnelles du patient, qui peuvent inclure les éléments suivants :
- Nom complet
- Date de naissance
- Adresse physique
- Numéro de téléphone
- Informations financières ou bancaires
- Numéro de sécurité sociale
- Informations sur l’assurance et numéro de compte
- Informations et antécédents médicaux
- État, traitement et diagnostic
- Numéro de permis de conduire
- Adresse e-mail
Bien que Broward Health confirme que l’intrus du réseau a exfiltré les données ci-dessus, il note qu’il n’y a aucune preuve que les acteurs de la menace les ont utilisées à mauvais escient.
Notamment, il a été déterminé que le point d’intrusion était un fournisseur médical tiers autorisé à accéder au système pour fournir ses services.
« En réponse à cet incident, Broward Health prend des mesures pour empêcher la récurrence d’incidents similaires, notamment l’enquête en cours, une réinitialisation du mot de passe avec des mesures de sécurité renforcées dans toute l’entreprise et la mise en œuvre d’une authentification multifacteur pour tous les utilisateurs de ses systèmes » explique la notification de violation de données aux patients et employés touchés.
« Nous avons également commencé à mettre en œuvre des exigences de sécurité minimales supplémentaires pour les appareils qui ne sont pas gérés par Broward Health Information Technology qui accèdent à notre réseau, qui entreront en vigueur en janvier 2022. »
En raison de la nature critique des données exposées, les destinataires des notifications doivent rester vigilants contre toutes les formes de communication.
En outre, le système de santé propose un abonnement de deux ans aux services de détection et de protection contre le vol d’identité via Experian, avec des détails sur la façon de s’inscrire inclus dans la lettre.
Les données volées sont souvent échangées en privé dans des forums cachés du Web sombre, il est donc peut-être trop tôt pour voir des signes d’abus dans la nature, mais cela ne signifie pas que les personnes exposées doivent devenir complaisantes.
Souvent, ces grands ensembles passent par un processus d’évaluation fastidieux pour choisir des cibles spécifiques de grande valeur pour les attaques d’ingénierie sociale ou de phishing. On peut donc s’attendre à un retard dans l’exploitation des données volées.