655 000 enregistrements médicaux auraient été volés aux États-Unis

655 000 enregistrements médicaux auraient été volés aux États-Unis

Si vous avez 600 bitcoins dont vous ne savez pas quoi faire...

27

655 000 enregistrements médicaux auraient été volés aux États-Unis

Un pirate serait en possession d’une grande quantité de données médicales, dérobées à trois organismes de santé américains. Quelques signes pointent vers une légitimité de ces données, mais rien ne permet de confirmer que l’intégralité des informations est véridique.

L’histoire est apparue samedi pour la première fois sur le site Deep Dot Web. Un pirate se faisant connaître sous le nom de « thedarkoverlord » (on ne sait pas s’il s’agit d’un homme ou d’une femme) affirme posséder plusieurs centaines de milliers d’enregistrements issus de dossiers constitués par des organismes médicaux américains.

Selon les informations recueillies, les organismes touchés sont situés à Farmington dans le Missouri (48 000 enregistrements), à Atlanta en Géorgie (397 000 enregistrements) et dans le Midwest (210 000 enregistrements). Il y aurait donc au total 655 000 enregistrements, avec toute la dangerosité et la sensibilité des informations que l’on imagine.

Des données authentiques dans un échantillon

La question est évidemment de savoir si ces données sont bien ce que le pirate prétend qu’elles sont. Motherboard indique de son côté avoir obtenu un échantillon de 30 enregistrements. Selon nos confrères, « une vaste majorité » des numéros de téléphone étaient les bons, les personnes contactées confirmant l’exactitude de cette information. Et les autres ? Une seule personne a indiqué que les données étaient les bonnes : numéro de sécurité sociale, nom complet, adresse postale, date de naissance, etc.

Toujours selon Motherboard, le pirate affirme avoir déjà pour environ 100 000 dollars de données issues du piratage d’Atlanta. Les collections ont été mises en vente sur le site TheRealDeal, chacune à un tarif différent exprimé en bitcoins. Ils sont pour l’instant d’environ 152 bitcoins pour Farmington, 304 bitcoins pour le Midwest et 608 bitcoins pour Atlanta. On est loin, très loin des prix demandés ces derniers mois par les pirates avec les fuites de LinkedIn, Tumblr ou Vkontakte. Le bitcoin se négocie pour information autour de 585 euros actuellement.

thedarkoverlord fuite données médicales
Crédits : Deep Dot Web

Le protocole RDP comme point d'entrée

Mais quelle méthode pour récupérer ces informations ? D’après les confidences du pirate (via une conversation XMPP chiffrée), il a utilisé « une faille dans la manière dont les entreprises utilisent RDP. C’est donc un bug très particulier. Les conditions doivent être très précises ». Évidemment, sur la base de cette explication, pas question d’en savoir davantage. On ne sait pas s’il s’agit réellement d’une faille dans le Remote Desktop Protocol ou dans des facteurs tiers. Impossible également de savoir comment RDP était utilisé, mais le pirate a indiqué qu’il avait servi de point d’entrée, lui permettant ensuite de se balader sur le réseau jusqu’aux machines qui l’intéressaient vraiment.

« thedarkoverlord » a également indiqué à Deep Dot Web qu’il avait fait parvenir un message aux organismes touchés, pour donner une « leçon » : « La prochaine fois qu’un ennemi vient vous voir, vous donne l’opportunité d’étouffer tout ça et de le faire disparaître, en échange d’une petite participation pour prévenir la fuite, acceptez ». Sûr de lui, il prévient : « Il y a beaucoup plus à venir ».

Rien ne peut prouver pour l'instant l'authenticité des données

Le fait est qu’on ne sait pas, dans l’absolu, si ces données sont réellement ce qu’elles prétendent être. Le fait que Motherboard ait obtenu un échantillon de 30 enregistrements vérifiés n’est pas suffisant pour apporter une preuve irréfutable. Nos confrères ont noté que dans quelques cas, des informations n’étaient pas à jour, comme l’adresse postale. Il pourrait tout aussi bien s’agir d’un lot spécialement conçu pour pouvoir être vérifié. En attendant d’en savoir plus, la prudence reste de mise.

Commentaires (27)


Patchez vos servers, bordel. Cordialement. <img data-src=" />


5 millions de dossiers patient accessibles facilement sur Internet (même pas besoin de hacker, faut juste un peu de jugeotte)

Je pourrai demander combien de bitcoin ?&nbsp;<img data-src=" />








Mithrill a écrit :



Confiez toutes vos infos de santé à Apple c’est plus sûr… et je trolle à peine, ayant bossé dans le domaine médical on trouve des solutions insuffisamment sécurisées, le dernier hack en date ayant d’ailleurs fait l’objet d’une news ici même sur un groupement de labos français.



Il est difficile d’avoir une solution 100% secure, si les accès aux infos confidentielles sont trop simples… pour ça il faudrait qu’ils en tirent leçon en laissant un accès plus restrictif, quitte à faire brailler les gens qui interviennent sur ces fiches de renseignement.





Oui enfin si c’est comme dans le reste la sécurité c’est “juste un truc qui coute cher, on a qu’a faire sans et espérer ne pas se faire hacker”. Quand tu vois encore des site ou lors de la création du compte, tu reçoit tes identifiants et mot de passes que tu as tapé pour t’inscrire ça faire peur. Et des gros sites de ventes en ligne.

Mais bon tant que les boites n’auront pas pigé que la sécurité c’est important, ils continueront à embaucher des mecs sortis d’école ou des gars sous payés qui du coups n’en n’ont rien à faire.



Je me demande : une fois qu’il aura reçu tous ses bitcoins, il en fera quoi ? Impossible à convertir en monnaie fiduciaire car sinon on pourrait remonter jusqu’à lui…

Du coup, je me demande l’intérêt des bitcoins dans ce cas…








yunyun a écrit :



5 millions de dossiers patient accessibles facilement sur Internet (même pas besoin de hacker, faut juste un peu de jugeotte)

Je pourrai demander combien de bitcoin ?&nbsp;<img data-src=" />





Suffisamment pour te payer un bon avocat ! <img data-src=" />









Mithrill a écrit :



Confiez toutes vos infos de santé à Apple c’est plus sûr… et je trolle à peine, ayant bossé dans le domaine médical on trouve des solutions insuffisamment sécurisées, le dernier hack en date ayant d’ailleurs fait l’objet d’une news ici même sur un groupement de labos français.



Il est difficile d’avoir une solution 100% secure, si les accès aux infos confidentielles sont trop simples… pour ça il faudrait qu’ils en tirent leçon en laissant un accès plus restrictif, quitte à faire brailler les gens qui interviennent sur ces fiches de renseignement.





C’est souvent le système entier qui n’est pas pensé sécurité. SI chaque personne est identifiée et tracé, et que l’attribution des droits a été pensé correctement, cela peut être sécurisé sans emmerder les utilisateurs légitimes. Ici, il s’agirait de l’exploitation d’une vrai faille, cela se corrige avec des mises à jour rapide et une surface d’attaque “réduite”.



bordayl <img data-src=" />



<img data-src=" />


Il pourra utiliser ses bitcoins pour s’acheter des choses, c’est le principe d’une monnaie <img data-src=" />


Tu achètes de l’or en bitcoin, et tu pars en vacances chercher la livraison dans une maison inhabité.&nbsp;



J’suis pas du tout un expert du bitcoin, mais je pense que je ferais quelque chose dans le genre, après avoir brouillé les pistes avec de multiples portefeuilles et des transactions variés étalés sur la durée, voir des services de mixin.&nbsp;


Quand on pense qu’en France, les entreprises de Santé (et beaucoup de secteurs manipulant des données personnelles) n’ont pas d’obligations de déclarer leur intrusion dans leur système informatique et leur fuite de données.


Tu as également la possibilité de vendre directement un portefeuille, c’est juste un échange de clef il n’y a pas de trace dans la blockchain, car elle ne sait pas à qui appartient le portefeuille, donc elle ne peux pas tracer le changement de propriétaire.&nbsp;


Oui en France, on n’a pas de problème de ce type <img data-src=" />


C’est bien pour ça que les criminels 2.0 se tournent progressivement vers les eCoins en général.




«&nbsp;une faille dans la manière dont les entreprises utilisent RDP. C’est donc un bug très particulier. Les conditions doivent être très précises&nbsp;».

ou simplement MS12-020 <img data-src=" />


Au moins celles OIV. Et il y en a quelques-unes…


Je connais pas. Qu’elle est la différence ?&nbsp;


il a intérêt à vendre très vite ses infos : si il attend un peu trop les plus malades vont crever et il n’aura les données médicales que de cadavres. <img data-src=" />


Très récent comme mesure.

Et je doute que cela concerne les mutuelles privées.



Donc la PME de santé ou la petite clinique …


Je parlais en general des monnaies cryptographiques. (bitcoin, litecoin, Ethereum, Bitshares, Peercoin…..)


Ah, oui pardon&nbsp;<img data-src=" />


Je crois que toutes les entreprises sont censées déclarer un intrusion ou tout du moins un vol de données :



https://www.cnil.fr/fr/notifications-de-violation-de-donnees-personnelles-une-no… <img data-src=" />


En même temps, il y a vraiment des gens qui achèteraient un tel portefeuille ?

Parce que moi je ne l’achèterait pas : je donnes de l’argent à un criminel, certes, mais qui pourrait me dénoncer pour blanchiment d’argent s’il se fait avoir. En plus, c’est bien beau d’avoir plein de BitCoins, mais j’aurais hériter du problème qu’avait mon vendeur : si un seul de mes BitCoins permet de remonter jusqu’à moi, je suis pas bien.

En plus, je vois mal une entreprise de conversion de BitCoins en dollar ou en or me racheter les BitCoins, pour les mêmes problèmes de blanchiment d’argent…


Et pourtant, je doute très fortement que la totalité des transactions soient mises en attente le temps de vérifier l’origine de chaque bitcoins. &nbsp;Après coup, il est trop tard, tu es partis avec ton or.&nbsp;



La blockchain qui trace tout, c’est juste une façade. Même si tu peux retrouver les portefeuille d’origine des bitcoins, les portefeuilles sont anonymes. Les portefeuilles ou les bitcoins peuvent avoir changé de main des dizaines de fois, ou aucune. C’est impossible à prouver.&nbsp;



Pour faire simple, si tu fais passer les bitcoins par 30 portefeuilles différents, il est impossible de dire si les bitcoins sont passé dans les mains de 30 personnes différentes, ou appartiennent encore à la personne qui les a eu par une transaction illégale.



Dire que tout est tracé, c’est à la fois vrai et faux. C’est comme si tu disais que le système bancaire trace tous les virements entre chaque compte, mais que les banques n’ont aucun moyen de dire a qui appartient un compte, et que les comptes peuvent changer de propriétaires des dizaines de fois sans que la banque ne puisse le voir… Dans ce contexte, niveau anonymat tout tracer ou rien tracer ça revient à peu près au même.


C’est pour répondre au soucis de traçage dont tu parles que certaines monnaies proposent des systèmes de “colorisation” des “coins”, j’imagine ?


Je ne pense pas.&nbsp;

Le soucis de traçage dont je parle est lié au fait que les portefeuilles sont anonymes.&nbsp;



Je comprend pas trop le système de colorisation dont tu parles, mais dans tous les cas, il ne changera pas le fait que le traçage est fait par rapport à un portefeuille (anonyme) et non une personne.&nbsp;


&nbsp; Ça n’arrivera pas en France (voir le nuage de Tchernobyl).



&nbsp;Au fait, quand est-il du contrat passé par (AP-HP) signé entre Microsoft Irlande (pourquoi pas France ?) et le ministère de la Santé (cf.http://www.nextinpact.com/news/96401-le-contrat-a-plus-120-millions-d-euros-entr…



Non, non, pas de risques pour nous, dormez braves gens, dormez !

&nbsp;


Fermer