UnitedHealth a confirmé pour la première fois quels types de données médicales et de patients ont été volés lors de l'attaque massive du ransomware Change Healthcare, déclarant que des notifications de violation de données seront envoyées par courrier en juillet.
Jeudi, la société a publié une notification de violation de données avertissant que l'attaque du ransomware a exposé une « quantité substantielle de données » pour une « proportion substantielle de personnes en Amérique ».
Bien que UnitedHealth n'ait pas explicitement indiqué combien de personnes ont été touchées, le PDG de UnitedHealth, Andrew Witty, a déclaré lors d'une audience au Congrès que « peut-être un tiers » de toutes les données de santé des Américains ont été exposées lors de l'attaque.
Selon la notification de violation de données, une masse massive d'informations sensibles a été volée, notamment :
- Informations sur l’assurance maladie (telles que les régimes/polices d’assurance maladie primaires, secondaires ou autres, les compagnies d’assurance, les numéros d’identification de membre/groupe et les numéros d’identification de payeur Medicaid-Medicare-gouvernement) ;
- Informations sur la santé (telles que les numéros de dossier médical, les prestataires, les diagnostics, les médicaments, les résultats de tests, les images, les soins et le traitement) ;
- Informations de facturation, de réclamation et de paiement (telles que les numéros de réclamation, les numéros de compte, les codes de facturation, les cartes de paiement, les informations financières et bancaires, les paiements effectués et le solde dû) ; et/ou
- Autres informations personnelles telles que les numéros de sécurité sociale, les permis de conduire, les numéros d'identification d'État ou les numéros de passeport.
Cependant, Change Healthcare affirme que les données exposées peuvent être différentes pour chaque personne concernée et que les antécédents médicaux complets des patients n'ont pas été visibles dans les données volées.
« CHC publie cet avis de remplacement pour fournir aux clients et aux particuliers des informations sur la cyberattaque criminelle contre les systèmes de CHC et pour partager les ressources disponibles avec les personnes qui pensent que leurs données personnelles pourraient être affectées », peut-on lire dans le communiqué. Modifier la notification de violation de données de santé.
« L'examen des renseignements personnels potentiellement impliqués dans cet incident en est à ses dernières étapes. CHC fournit cet avis maintenant pour aider les personnes à comprendre ce qui s'est passé, leur faire savoir que leurs informations peuvent avoir été touchées et leur donner des informations sur les mesures qu'elles peuvent prendre. pour protéger leur vie privée, notamment en s'inscrivant à deux ans de services gratuits de surveillance du crédit et de protection contre le vol d'identité s'ils pensent que leurs informations peuvent avoir été affectées.
La société affirme qu'elle commencera à envoyer aux patients une lettre officielle de notification de violation de données fin juillet, mais elle ne disposera peut-être pas d'adresses postales pour toutes les personnes concernées.
En attendant, les personnes concernées peuvent visiter changecybersupport.com pour plus d'informations sur la façon de s'inscrire à une surveillance gratuite du crédit et sur la manière dont les données volées pourraient être utilisées dans des activités frauduleuses.
L’attaque du rançongiciel Change Healthcare
Les notifications de violation de données concernent une attaque de ransomware en février contre Change Healthcare, filiale d'UnitedHealth, lorsque les attaquants ont volé 6 To de données à l'entreprise.
L’attaque a entraîné des pannes généralisées dans le système de santé américain, empêchant les médecins et les pharmacies de déposer des réclamations. Les perturbations ont été particulièrement visibles dans les pharmacies, qui ne pouvaient traiter aucune réclamation d'assurance ni accepter les cartes d'ordonnance à prix réduit, obligeant certains patients à payer le prix fort pour recevoir leurs médicaments.
Le groupe de ransomwares BlackCat (alias ALPHV) a mené l'attaque, en utilisant des informations d'identification volées pour se connecter au service d'accès à distance Citrix de l'entreprise, sur lequel l'authentification multifacteur n'était pas activée.
UnitedHealth a admis avoir payé une demande de rançon, prétendument de 22 millions de dollars, au gang de ransomwares, qui était censé être divisé avec une filiale ayant mené l'attaque. Cependant, l'opération BlackCat s'est arrêtée, volant la totalité du paiement pour elle-même.
L'affilié en colère a annoncé qu'il disposait toujours des données de Change Healthcare et ne les avait pas supprimées comme promis. Ils ont ensuite commencé à divulguer certaines des données volées sur le site de fuite de données RansomHub, exigeant un paiement supplémentaire pour que les données ne soient pas divulguées.
L’entrée Change Healthcare a mystérieusement disparu du site Web RansomHub, indiquant que United Health a payé une deuxième demande de rançon.
United Health affirme que l'attaque du ransomware Change Healthcare a causé 872 millions de dollars de pertes en avril, qui augmenteront probablement une fois que toutes les enquêtes et mesures correctives seront terminées.