Infosys McCamish Systems (IMS) a révélé que l'attaque du ransomware LockBit dont elle a été victime plus tôt cette année a eu un impact sur les informations sensibles de plus de six millions de personnes.
IMS est une société multinationale qui fournit des services de conseil aux entreprises, de technologie de l'information et d'externalisation. Elle est spécialisée dans la couverture des besoins des entreprises des secteurs de l'assurance et des services financiers.
La société a une présence significative aux États-Unis, au service de grandes institutions financières telles que Bank of America et sept des dix premiers assureurs du pays.
En février 2024, IMS a informé le public qu'elle avait été touchée par un ransomware en novembre 2023, ce qui a entraîné la compromission des données personnelles d'environ 57 000 clients de Bank of America.
À l'époque, LockBit avait revendiqué l'attaque et déclaré avoir chiffré 2 000 ordinateurs sur le réseau IMS.
Dans une nouvelle notification partagée avec les autorités américaines, IMS indique désormais que le nombre total de personnes touchées par l'attaque de ransomware de novembre 2023 est d'un peu plus de 6 millions.
« Avec l'aide d'experts en eDiscovery tiers, retenus par l'intermédiaire d'un avocat externe, IMS a procédé à un examen approfondi et chronophage des données en question pour identifier les informations personnelles sujettes à un accès et une acquisition non autorisés et déterminer à qui les informations personnelles se rapportent », peut-on lire dans le communiqué. notification.
« IMS a informé les organisations concernées de l'incident et de la compromission de toute information personnelle les concernant. »
Les données confirmées comme compromises varient d’un individu à l’autre, mais incluent les suivantes :
- Numéro de sécurité sociale (SSN)
- Date de naissance
- Informations sur le traitement/dossier médical
- Données biométriques
- Adresse e-mail et mot de passe
- Nom d'utilisateur et mot de passe
- Numéro de permis de conduire ou numéro d'identification d'État
- Informations sur le compte financier
- Informations sur la carte de paiement
- Numéro de passeport
- Numéro d'identification tribal
- Numéro d'identification militaire américain
Pour atténuer le risque d'exposition, les lettres de notification contiennent des instructions sur la manière d'accéder à un service gratuit de protection de l'identité et de surveillance du crédit pendant deux ans via Kroll.
IMS n'a pas révélé lesquels de ses clients ont été touchés, à l'exception d'Oceanview Life and Annuity Company (OLAC), un fournisseur de rentes fixes et à index fixe basé en Arizona qui garantit le revenu de retraite des assurés.
L'avis d'IMS mentionne que la liste des propriétaires de données concernés, qui ne répertorie actuellement que OLAC, peut être complétée au fur et à mesure que davantage de clients demandent à être nommés dans le dossier.