Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des hackers volent des données médicales de 15 millions de patients
Puis les revendent au laboratoire qui les détenait

Le , par Stéphane le calme

37PARTAGES

13  0 
Le plus grand fournisseur de services de tests de laboratoire spécialisés au Canada a déclaré avoir versé à des hackers un montant non divulgué pour qu'ils leur retournent des données personnelles qu'il a volé et qui appartenaient à pas moins de 15 millions de clients.

LifeLabs, basée à Toronto, en Ontario, a informé les autorités canadiennes de l'attaque le 1er novembre. La société a déclaré qu'une cyberattaque a frappé des systèmes informatiques qui stockaient des données d'environ 15 millions de clients. Les informations volées comprenaient les noms, adresses, adresses mail, identifiants et mots de passe des clients, numéros de carte de Santé et numéro des tests de laboratoire.

Dans un communiqué, Charles Brown, son chef de direction, a déclaré que l'entreprise a pris plusieurs mesures pour protéger les informations clients parmi lesquelles :
  • engager immédiatement les services d'experts en cybersécurité de renommée mondiale pour isoler et sécuriser les systèmes affectés et déterminer la portée de l'attaque ;
  • renforcer davantage leurs systèmes pour empêcher de futurs incidents;
  • récupérer des données en effectuant un paiement. Charles Brown indique que l'entreprise l'a fait en collaboration avec des experts familiarisés avec les cyberattaques et les négociations avec les cybercriminels ;
  • collaborer avec les forces de l'ordre, qui enquêtent actuellement sur la question ;
  • offrir à ses clients des services de protection de la cybersécurité, tels que l'assurance contre le vol d'identité et la protection contre la fraude.



« Je tiens à souligner qu'à l'heure actuelle, nos sociétés de cybersécurité ont indiqué que le risque pour nos clients dans le cadre de cette cyberattaque est faible et qu'elles n'ont constaté aucune divulgation publique des données des clients dans le cadre de leurs enquêtes, y compris la surveillance du dark web et d'autres sites en ligne.

« Nous avons corrigé les problèmes du système liés à l'activité criminelle et avons travaillé 24 heures sur 24 pour mettre en place des garanties supplémentaires pour protéger vos informations. Dans un souci de transparence et conformément aux réglementations en matière de confidentialité, nous faisons cette annonce pour informer tous les clients. Il existe des informations concernant environ 15 millions de clients sur les systèmes informatiques qui ont été potentiellement consultés dans cette violation. La grande majorité de ces clients se trouvent en Colombie-Britannique et en Ontario, avec relativement peu de clients dans d'autres endroits. Dans le cas des résultats des tests de laboratoire, nos enquêtes à ce jour sur ces systèmes indiquent qu'il y a 85 000 clients touchés en 2016 ou avant en Ontario; nous travaillerons pour informer ces clients directement. Notre enquête à ce jour indique que toute information sur la carte Santé datait de 2016 ou plus tôt.

« Bien que vous ayez le droit de déposer une plainte auprès des commissaires à la protection de la vie privée, nous les avons déjà informés de cette attaque et ils enquêtent sur la question. Nous avons également informé nos partenaires gouvernementaux.

« Bien que nous ayons pris des mesures au cours des dernières années pour renforcer nos cyberdéfenses, cela nous a rappelé que nous devons rester en tête de la cybercriminalité qui est devenue un problème omniprésent dans le monde dans tous les secteurs.

« Tout client préoccupé par cet incident peut bénéficier d'une année de protection gratuite qui inclut une surveillance du dark web et une assurance contre le vol d'identité ».

Brown n'a pas mentionné combien sa structure a dû débourser pour rentrer à nouveau en possession de ces données.

Selon un avis émis par le Commissariat à l'information et à la protection de la vie privée de l'Ontario et le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique :

« Une attaque de cette ampleur est extrêmement troublante. Je sais que ce sera très pénible pour ceux qui pourraient avoir été touchés. Cela devrait servir de rappel à toutes les institutions, grandes et petites, qui se doivent d'être vigilantes », a déclaré Brian Beamish, commissaire à l'information et à la protection de la vie privée de l'Ontario. « Les cyberattaques augmentent les phénomènes criminels et les auteurs disposent d'outils de plus en plus sophistiqués. Les institutions publiques et les organismes de soins de santé sont en dernier ressort responsables de veiller à ce que les informations personnelles dont elles ont la garde et le contrôle soient sécurisées et protégées à tout moment ».

« Je suis profondément préoccupé par cette question. La violation de renseignements personnels sensibles sur la santé peut être dévastatrice pour les personnes touchées », explique Michael McEvoy, commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. « Nos bureaux indépendants se sont engagés à enquêter de manière approfondie sur cette violation. Nous communiquerons publiquement nos conclusions et recommandations une fois nos travaux terminés ».

Les deux commissaires à l'information et à la protection de la vie privée ont décidé de contacter leurs homologues d'autres juridictions ainsi que les clients concernés.

Source : LifeLabs, déclaration des commissaires à l'information et à la protection de la vie privée

Et vous ?

Que pensez-vous de la décision de payer le hacker pour récupérer les données ? Cela est-il susceptible d'encourager d'autres situations de cette envergure ou cela constitue la solution la moins coûteuse à court et moyen termes ?
Ce genre d'incident vient-il illustrer la nécessité pour les organisations / entreprises / institutions détenant des données sensibles comme les données médicales d'être à la pointe de la sécurité informatique ?

Voir aussi :

Des régulateurs vont lancer une enquête sur l'accord entre Google et Ascension, qui a donné accès aux informations médicales de dizaines de millions d'individus à Google

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre expert https://www.developpez.com
Le 20/12/2019 à 20:37
Bonsoir,

Que pensez-vous de la décision de payer le hacker pour récupérer les données ?
C'est une très mauvaise idée , cela enrichi le crime organisé ... Rien ne garanti la récupération ... et la c'est la double peine quand on est doublement plumé . Il est plus dure de repartir :/

Cela est-il susceptible d'encourager d'autres situations de cette envergure ou cela constitue la solution la moins coûteuse à court et moyen termes ?
Tout as fait. C'est être maso que de donner de l'argent aux truands ... si ils veulent nous faire chanter ... cela leur est permis !

Ce genre d'incident vient-il illustrer la nécessité pour les organisations / entreprises / institutions détenant des données sensibles comme les données médicales d'être à la pointe de la sécurité informatique ?
Pas que la santé ... Télécom, banque, administratif, transports ... Bref tout ce qui est "vital" pour le bon fonctionnement d'une société
1  0 
Avatar de sebbod
Membre averti https://www.developpez.com
Le 20/12/2019 à 16:30
Tiens ce titre est dans mon actualité car des agents de la CAF passaient cette semaine dans ma boite pour promouvoir le DMP.
Et je me demandais si c'était bien prudent de mettre dans le cloud (de la CAF) des informations me concernant.

Par pure esprit de contradiction avec moi même (car je suis contre mettre des informations me concernant sur internet),
Mais comme personne n'en a ouvert un lors de la réunion, je l'ai fait, j'ai ouvert un dossier dans le but caché de voir combien d'espace de stockage je disposais sur mon cloud de la CAF (mais pour l'instant je ne me suis pas connecté donc je n'ai pas la réponse)
0  0