Quelque 11 000 des plus de 100 000 participants à l'échange travaillent à la Chambre et au Sénat (dans la capitale nationale et les bureaux de district à travers le pays) ou alors sont des parents de personnes qui travaillent à ces endroits.
DC Health Link, la place de marché de l'assurance maladie de Washington D.C., utilisé par de nombreux membres du personnel de la Maison-Blanche et leurs familles, a signalé une violation de données, le FBI a prévenu que certaines des informations contenues dans la fuite avaient été mises à disposition pour achat sur le dark web.
Dans une note interne envoyée aux membres du personnel de la Chambre des États-Unis, la directrice administrative de la Chambre, Catherine L. Szpindor, a informé les destinataires de la « violation importante des données », qui a potentiellement exposé les informations personnelles identifiables (PII) de milliers d'employés, et les a avertis que leurs données pourraient avoir été compromises.
La note interne se termine en suggérant aux membres de geler leur crédit et prévoit des mesures de précaution supplémentaires pour éviter d'être victimes de fraude.
Dans une lettre au directeur de DC Health Link publiée sur Twitter, le président de la Chambre Kevin McCarthy, R-Californie, et le chef de la minorité Hakeem Jeffries, D-N.Y., ont déclaré que la violation « augmente considérablement le risque que les députés, le personnel et leurs familles soient victime d'un vol d'identité, de crimes financiers et de menaces physiques. »
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">.<a href="https://twitter.com/SpeakerMcCarthy?ref_src=twsrc%5Etfw">@SpeakerMcCarthy</a> & Minority Leader Jeffries' letter regarding the DC Health Link data breach: <a href="https://t.co/v6H3VtdGX4">pic.twitter.com/v6H3VtdGX4</a></p>— Mark Bednar (@MarkBednar) <a href="https://twitter.com/MarkBednar/status/1633800558539669504?ref_src=twsrc%5Etfw">March 9, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Le FBI a déclaré dans un bref communiqué qu'il était au courant de l'incident et qu'il aidait : « Le FBI est au courant de cet incident et apporte son aide. Comme il s'agit d'une enquête en cours, nous n'avons aucune information supplémentaire à fournir pour le moment », a déclaré le FBI dans un communiqué.
Dans la lettre, McCarthy et Jeffries ont déclaré que le FBI n'avait pas encore déterminé l'étendue de la violation, mais que des milliers de membres de la Chambre, d'employés et de leurs familles se sont inscrits à une assurance maladie via DC Health Link depuis 2014. les clients pourraient être extraordinaires.
« Nous pouvons confirmer des informations selon lesquelles les données de certains clients de DC Health Link ont été exposées sur un forum public. Nous avons lancé une enquête approfondie et travaillons avec des enquêteurs spécialisés en criminalistique et les forces de l'ordre », a déclaré DC Health Link dans un communiqué. Puis, vendredi, ce communiqué a été publié :
Envoyé par DC Health Link
Cependant, des exemples de données de la violation sur plusieurs clients de DC Health Link ont été publiés en ligne pour les acheteurs potentiels, qui comprenaient des numéros de sécurité sociale, et Associated Press a contacté l'une des personnes concernées par téléphone.
Associated Press a également noté que ce piratage n'est que le dernier d'une série de plusieurs sur les agences fédérales.
Une situation qui rappelle celle d'Equifax
C'est dans un communiqué de presse en septembre 2017 qu'Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet de cette année.
Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.
Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.
Equifax a utilisé le mot « admin » comme mot de passe et nom d'utilisateur pour un portail contenant des informations sensibles, selon un recours collectif intenté devant un tribunal fédéral dans le Northern District of Georgia. « Equifax a utilisé le nom d’utilisateur "admin" et le mot de passe "admin" pour protéger un portail utilisé pour gérer les différends relatifs au crédit, un mot de passe qui "est un moyen infaillible de se faire pirater" », indique la plainte.
La poursuite note également qu'Equifax a admis avoir utilisé des serveurs non chiffrés pour stocker les informations personnelles sensibles et a noté que ces informations étaient accessibles au public.
Selon la plainte, quand Equifax, l'une des trois plus grandes agences d'évaluation du crédit à la consommation, a chiffré les données, « elle a laissé les clefs pour déverrouiller le chiffrement sur les mêmes serveurs ouverts au public, facilitant ainsi le retrait du chiffrement des données ».
Le recours collectif a regroupé 373 actions en justice antérieures. Contrairement à d’autres poursuites contre Equifax, celles-ci ne proviennent pas de consommateurs lésés, mais plutôt d’actionnaires alléguant que la société n’a pas divulgué de manière adéquate les risques ou ses pratiques de sécurité.
La poursuite a été intentée par des personnes qui ont acheté des actions d'Equifax entre le 25 février 2016 et le 15 septembre 2017. En septembre 2017, Equifax a annoncé une violation de données exposant les informations personnelles de 147 millions de personnes. La société a conclu un accord de 425 millions de dollars avec la FTC en septembre 2019.
En mars 2018, Equifax a déposé une requête pour que cette affaire soit abandonnée.
« La plainte du demandeur est dépourvue de faits, ce qui suggère même de manière plausible que les défendeurs étaient au courant de toute information contredisant leurs déclarations publiques au moment où elles ont été faites », peut-on lire dans la requête. « Au lieu de cela, les revendications du demandeur reposent presque entièrement sur la notion non étayée et invraisemblable selon laquelle les défendeurs ont omis sciemment et délibérément de corriger la vulnérabilité logicielle en cause dans l'incident de cybersécurité ».
La requête en irrecevabilité a été rejetée par le tribunal en janvier 2019.
« La cybersécurité d’Equifax était dangereusement déficiente », a déclaré le tribunal. « La compagnie s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau ». Le recours collectif se poursuit.
Source : communiqué de presse DC Health Link
Et vous ?
Quelle lecture en faites-vous ?
La situation est-elle, selon vous, plus catastrophique dans le cas de DC Health Link parce qu'il y a des élus ? Devrait-elle, selon vous, les motiver davantage à frapper plus fort et plus vite le poing sur la table ?
Que pensez-vous de la réaction de DC Health Link ?
Êtes-vous d'accord avec les internautes qui crient à l'incompétence de DC Health Link bien que rien n'ait encore filtré de l'enquête (contrairement à Equifax et sa cybersécurité extrêmement répréhensible avec son mot de passe « admin » ou le fait que l'entreprise encore « s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau » ?
De façon plus générale, ce type d'incident illustre-t-il, selon vous, la raison pour laquelle les compagnies disposant d'informations sensibles ont le devoir de ne pas lésiner sur leur cybersécurité ?