ShinyHunters revendique une fuite de 8,8 To de données d’Amazon One Medical

ShinyHunters revendique une fuite de 8,8 To de données d’Amazon One Medical

Le groupe de pirates ShinyHunters a jeté son dévolu sur l’une des catégories de données les plus sensibles qui soient : les dossiers médicaux personnels. Le groupe affirme avoir compromis One Medical, le service de soins primaires détenu par Amazon, et allègue avoir exfiltré plus de 8,8 téraoctets de données. Selon des sources de renseignement sur les menaces, ShinyHunters a fixé une date limite au 22 juin pour les négociations, menaçant de publier les données volées si Amazon ne répond pas. Ni Amazon ni One Medical n’ont publiquement confirmé l’ampleur totale de l’incident à l’heure où nous écrivons ces lignes.

Le simple volume du vol présumé, 8,8 To, indique qu’il ne s’agit pas d’une extraction étroite et ciblée. S’il est vérifié, il représenterait l’un des incidents de données de santé les plus importants de mémoire récente.

Ce que nous savons de la violation chez One Medical

One Medical exploite un modèle de soins primaires par abonnement aux États-Unis, au service de patients qui utilisent son application et ses portails pour prendre rendez-vous, envoyer des messages aux prestataires et accéder à leurs dossiers médicaux. Amazon a acquis la société en 2023 pour environ 3,9 milliards de dollars, l’intégrant à l’écosystème plus large d’Amazon Health.

Par ailleurs, One Medical Seniors a signalé un incident de sécurité des données affectant un nombre limité de patients, lié à un système de stockage de fichiers tiers, bien qu’il ne soit pas encore confirmé que cet événement soit directement lié à la revendication de ShinyHunters.

Les données de santé sont parmi les plus précieuses sur le dark web, précisément parce qu’elles sont immuables. On peut annuler une carte de crédit, mais on ne peut pas changer sa date de naissance, son historique médical ou son numéro de sécurité sociale. Les dossiers qui contiennent des diagnostics, des ordonnances, des informations d’assurance et des coordonnées peuvent être utilisés à des fins de fraude à l’assurance, d’usurpation d’identité et de phishing ciblé pendant des années après une violation.

ShinyHunters n’en est pas à son premier coup d’éclat contre des cibles de premier plan. Le groupe a précédemment revendiqué des violations touchant Charter Communications, exposant près de 4,9 millions d’enregistrements via une attaque par vishing, ainsi que de grandes marques comme Zara, Carnival et 7-Eleven. Le groupe a montré sa volonté de passer à la publication des données lorsque les demandes ne sont pas satisfaites.

Pourquoi les violations de données de santé comportent un risque unique

La plupart des violations de données causent des préjudices financiers et d’atteinte à la réputation. Les violations dans le secteur de la santé font les deux, en y ajoutant une exposition profondément personnelle que les patients anticipent rarement.

Un dossier médical volé peut révéler des diagnostics de santé mentale, l’historique de la santé reproductive, les traitements liés à la toxicomanie, le statut VIH et les maladies chroniques. Entre de mauvaises mains, ces informations peuvent être utilisées à des fins de chantage, de discrimination à l’emploi ou d’attaques d’ingénierie sociale hautement personnalisées. Les patients qui utilisent la télésanté ou des applications de soins primaires comme One Medical présument souvent que, parce que l’application est soignée et que l’entreprise est grande et bien financée, leurs données sont intrinsèquement sécurisées. Cette violation, si elle est confirmée, nous rappelle qu’aucune taille d’entreprise ne garantit une protection contre un attaquant déterminé.

ShinyHunters a également été lié à des violations de plateformes éducatives, notamment l’incident Instructure Canvas qui a exposé des données d’étudiants dans les établissements d’enseignement supérieur. Ce schéma suggère un groupe opportuniste tous secteurs confondus et sophistiqué dans son approche.

Ce que cela signifie pour vous

Si vous êtes un patient actuel ou ancien de One Medical, il y a des mesures concrètes à prendre dès maintenant, avant qu’une notification officielle n’arrive.

Premièrement, surveillez vos comptes d’assurance maladie pour détecter des demandes de remboursement ou des activités que vous ne reconnaissez pas. La facturation frauduleuse est l’une des conséquences les plus courantes du vol de données médicales. Deuxièmement, soyez attentif aux tentatives de phishing. Si des attaquants détiennent des dossiers médicaux détaillés, ils peuvent créer des e-mails ou des appels faisant référence à votre prestataire, à l’historique de vos rendez-vous ou à vos ordonnances, afin de paraître légitimes. Ne cliquez pas sur les liens dans les messages non sollicités liés à la santé.

Troisièmement, envisagez de geler votre crédit auprès des trois principales agences d’évaluation du crédit. Les dossiers médicaux contiennent souvent suffisamment d’informations personnelles identifiables pour ouvrir de nouveaux comptes de crédit à votre nom.

Sur la question des outils comme les VPN : il est important d’être précis ici. Un VPN n’aurait pas empêché cette violation, qui s’est produite sur les serveurs de One Medical, et non sur la connexion de l’utilisateur. Cependant, l’utilisation d’un VPN lors de l’accès à des portails médicaux, à des applications de télésanté ou à des comptes d’assurance maladie via des réseaux Wi-Fi publics ou partagés réduit le risque que vos identifiants de session ou les données transmises soient interceptés localement. Il s’agit d’un bénéfice limité mais réel qu’il est bon de comprendre. La sécurité côté serveur de la plateforme à laquelle vous vous connectez est une question entièrement distincte, sur laquelle les patients n’ont qu’un contrôle direct limité.

Ce que les patients contrôlent, c’est la manière dont ils réagissent une fois qu’une violation est annoncée : la rapidité de leur action, la rigueur de leur surveillance et le scepticisme avec lequel ils traitent les sollicitations inattendues.

Mesures concrètes à prendre

• Vérifiez votre compte One Medical pour détecter toute activité inhabituelle et mettez à jour votre mot de passe immédiatement.
• Activez l’authentification multifacteur sur votre compte One Medical et sur tous les portails de santé ou d’assurance associés.
• Gelez votre crédit auprès d’Equifax, Experian et TransUnion si ce n’est pas déjà fait.
• Traitez toute communication entrante faisant référence à votre historique médical avec une attention particulière, même si elle semble provenir d’un prestataire connu.
• Évitez d’accéder à des comptes de santé sensibles via un réseau Wi-Fi public ; si vous devez le faire, utilisez un VPN pour chiffrer votre connexion locale.
• Restez à l’affût d’une notification officielle de violation de la part de One Medical, qui déclencherait vos droits en vertu de la loi HIPAA pour connaître les informations exposées.

La situation concernant One Medical évolue encore, et l’ampleur totale de ce qui a été dérobé pourrait ne pas être connue avant un certain temps. Ce qui est déjà clair, c’est que les plateformes de santé détenant de gros volumes de données sensibles de patients restent des cibles de grande valeur, et que les patients devraient agir en fonction de cette réalité plutôt que d’attendre une confirmation officielle pour prendre des mesures de protection.