Lifelock : Itinéraire de données médicales volées
Lifelock ! Vous faites les sourds et les aveugles face à des données personnelles qui vous ont été volées ? Voici un exemple d’itinéraire de plus de 40.000 dossiers médicaux volés à un centre hospitalier.
Lifelock is back ! La loi fédérale américaine impose aux structures de santé (hôpitaux, laboratoires, …) d’alerter les autorités en cas de fuite, de perte ou de piratage d’informations personnelles concernant patients et/ou personnels. Des violations qui sont notifiées sur le portail web de l’U.S. Department of Health and Human Services (HHS). Une obligation imposée par la section 13402(e)(4) de la HITECH Act.
Nous pourrions penser que l’ensemble des incidents sont répertoriés. Que les victimes alertent les autorités. Il semble bien que non ! Comme pour le Règlement général sur la protection des données (RGPD), malheur à ceux qui tenteront de cacher le problème. Oubliez les trois petits singes. « Ne pas voir le Mal, ne pas entendre le Mal, ne pas dire le Mal« et il ne vous arrivera que du bien. Ne rien dire, c’est s’ouvrir les portes de l’enfer comme je vais vous l’expliquer avec le centre médical « Holland Eye Surgery and Laser Center« . Un établissement basé dans le Michigan. Ne pensez pas que cela n’arrive qu’aux autres. Que vous n’êtes pas concernés car ce cas se déroule de l’autre côté de l’Atlantique.
Infernus
Le 18 mai, le site web du HHS indiquait une violation de données concernant 42 200 patients du Holland Eye Surgery and Laser Center. Le groupe de santé parle d’un « Hacking/IT Incident » ayant visé un « Desktop Computer« . Jusqu’ici, rien de bien nouveau. Un piratage, des informations patients et une alerte. Sauf que… le piratage semble avoir eu lieu voilà 1 an et que l’hôpital n’a rien dit. Au début du mois d’avril, Data Breaches a été contacté par un pirate informatique, aka Todd Davis/Lifelock, qui affirme être l’auteur du hack. Un pseudonyme que je retrouve dans plusieurs blackmarkets.
Selon les propos de Life lock, il a piraté Holland Eye Surgery & Laser Center, basée dans la ville d’Holland en juin 2016. Il a alerté l’entreprise de santé et a proposé ses services pour 10 000 $. « La seule chose qu’ils ont fait, explique le pirate. Ils ont désactivé l’accès au serveur RDP. Preuve qu’ils ont bien reçu mes courriels. Au fil des semaines, je leur ai demandé de payer ma facture pour sécuriser les données de leurs patients. Ils ne m’ont jamais répondu. Ils ont voulu cacher la fuite.« .
Revente des données dans le blackmarket
D’après vous, qu’a fait Lifelock ? Il a commencé à revendre des données dans le blackmarket. LL affirme avoir alerté les médecins à chaque fois qu’il vendait un patient. Il en aurait vendu plus de 200. Les autorités du Michigan, le HHS et les patients n’ont alertés. « Des comptes bancaires ont été créés avec les données des patients afin de blanchir de l’argent sale, indique le pirate. Mes acheteurs les ont utilisés pour la protection de leur propre identité, ou encore pour ouvrir des comptes chez des opérateurs téléphoniques, pour acheter des iPhones chez Verizon ou encore AT&T. « J’ai contacté les praticiens au moins 30 fois au cours des 2 dernières années » termine le malveillant.
Welcome to the jungle !
Le plus inquiétant est que le pirate affirme avoir dérobé deux bases de données. Une de 42 229 patients. L’alerte du HHS. Et une seconde, de 202 163 dossiers. Cette dernière base de données n’est pas encore apparue sur les tablettes des autorités. Dans le blackmarket par contre, c’est une autre histoire ! A noter que le pirate, pour faire réagir le centre médical, a intercepté les données du Maire de la ville de Holland, Nancy De Boer.
Et devinez ce qu’a fait le voyou ? Ne recevant aucune réponse, il a ouvert plusieurs comptes bancaires au nom de la première magistrate de la commune. Autant dire que l’élue a rapidement réagi. Son équipe a voulu piéger le pirate. Un courriel et une image. Une technique vieille comme le monde qui, mais ça c’était avant, permet de remonter à l’IP de l’interlocuteur. Seulement, Life lock n’est pas né de la dernière pluie. Il s’est rendu compte du piège tendu. « Sa réponse aura été de tenter de trouver mon identité plutôt que d’aider les gens de sa ville« .
Bilan de cette belle opération de communication : des milliers de patients piratés ; l’identité et la réputation des patients perdues ; des usurpations d’identités ; de la vente d’informations ; des médecins, un centre de soin et des élus cachotiers qui vont finir devant les tribunaux. Et une communication de crise que plus personne ne maîtrise. L’hôpital vient d’annoncer dans la presse locale ce piratage. Une information qu’elle aurait reçu le 19 mars 2018.