La semaine dernière, le ministère de la Santé et des Services sociaux de l’Alaska (DHSS) divulgué une faille de sécurité apparemment commise par un attaquant sophistiqué au niveau de l’État-nation.
Selon le DHSS, qui a passé un contrat avec la célèbre société de sécurité Mandiant pour enquêter sur la violation, les attaquants ont pris pied à l’intérieur du réseau du DHSS via l’un de ses sites Web publics, à partir duquel il a pivoté vers des ressources plus profondes.
Une saga de plusieurs mois
Ce n’est pas le premier signalement de la violation du DHSS. L’organisation a d’abord annoncé publiquement l’intrusion sur 18 mai, avec un juin mise à jour annonçant une enquête sur plusieurs fronts, et une autre en août à l’issue de la première des trois étapes de l’enquête.
Dans la mise à jour d’août, le DHSS a révélé que Mandant— un sous-ensemble de la plus grande entreprise d’infosec FireEye — a terminé son enquête initiale et a conclu que l’intrusion était une attaque directe et sophistiquée plutôt qu’une simple infestation de ransomwares. « Le type de groupe derrière cette attaque perturbatrice est une opération très sérieuse avec des capacités avancées », a déclaré le commissaire du DHSS, Adam Crum.
Selon Scott McCutcheon, responsable de la technologie du DHSS, les attaquants étaient à la fois avancés et persistants : « Il ne s’agissait pas d’une situation « tout-en-un », mais plutôt d’une attaque sophistiquée destinée à être menée sans être détectée sur une période prolongée. Les attaquants ont pris des mesures pour maintenir cet accès à long terme même après leur détection. »
La majorité des détails techniques fournis par Alaska DHSS sont venus dans la mise à jour d’août – la semaine dernière notification concernait plutôt l’impact de l’attaque sur les citoyens de l’Alaska.
Fuite de données et réponse de l’Alaska
Une entreprise de surveillance de la sécurité effectuant une surveillance proactive a remarqué pour la première fois des signes d’intrusion le 2 mai. Bureau des technologies de l’information (Security Office) a informé le DHSS d’un accès non autorisé aux ordinateurs le 5 mai, après quoi le DHSS signale qu’il a immédiatement fermé les systèmes pour empêcher les attaquants d’accéder davantage aux données protégées.
Au cours de cette fenêtre (au moins) de trois jours, les attaquants ont potentiellement eu accès à des données personnelles, dont certaines constituent une violation à la fois de la loi HIPAA et de la loi de l’Alaska sur la protection des informations personnelles (APIPA). Le nombre d’individus impliqués dans l’attaque est encore inconnu, tout comme les données exactes qui ont pu être exfiltrées, mais les attaquants ont potentiellement eu accès à « toutes les données stockées sur l’infrastructure informatique du ministère », y compris, mais sans s’y limiter :
- Noms complets
- Dates de naissance
- Numéros de sécurité sociale
- Adresses
- Numéros de téléphone
- Numéros de permis de conduire
- Numéros d’identification internes (rapports de cas, rapports de service protégés, Medicaid, etc.)
- Information sur la santé
- L’information financière
- Informations historiques concernant l’interaction d’une personne avec le DHSS
En réponse, l’État de l’Alaska offre une surveillance gratuite du crédit à « tout Alaskan concerné ». Tous les citoyens de l’Alaska qui ont demandé un dividende permanent du fonds recevront une notification par e-mail décrivant la violation et offrant un code pour le service gratuit de surveillance du crédit. Les Alaskiens concernés qui ne reçoivent pas de code par e-mail devront contacter une hotline gratuite qui sera disponible au Site Internet du DHSS à partir du mardi 21 septembre.
Source link
