- Prise rapide : Une violation massive de données en Ontario a exposé les dossiers médicaux de 3,4 millions de personnes, mettant en évidence les vulnérabilités du logiciel de transfert de fichiers MOVEit.
- Aperçu de base : BORN Ontario a révélé que les renseignements personnels sur la santé des personnes cherchant des soins de grossesse et des nouveau-nés ont été compromis, et les experts suggèrent que cette violation aurait pu être évitée si les données avaient été anonymisées.
- Et après: Étant donné que les conséquences de cette violation peuvent s’étendre au-delà de l’Ontario, les individus doivent rester vigilants, surveiller régulièrement leurs comptes et se méfier d’une éventuelle utilisation abusive de leurs informations à l’avenir.
En Ontario, une grave violation de données a rendu vulnérables les dossiers médicaux des mères, des nouveau-nés et de celles qui cherchaient des solutions pour leur grossesse. Cette cyber-infraction à grande échelle, révélant des détails de santé délicats, aurait pu être entièrement évitée, affirment les autorités de sécurité du Canada.
Le registre et le réseau de meilleurs résultats (NÉ) a révélé lundi que 3,4 millions de personnes – principalement celles qui cherchaient des soins de grossesse et les nouveau-nés nés en Ontario – avaient vu leurs informations personnelles sur la santé compromises en mai.
« C’est épouvantable. Les renseignements personnels sur la santé qui ont été copiés ont été recueillis auprès d’un vaste réseau d’établissements de santé principalement ontariens », a commenté Ann Cavoukian, ancienne commissaire à l’information et à la protection de la vie privée de l’Ontario.
Ann a souligné que si BORN avait anonymisé les données en supprimant les détails identifiables tels que les noms, les numéros d’identification de santé et les détails de résidence, il aurait offert la « protection la plus forte » lors d’un incident de violation de données.
« Ils n’ont pas dit qu’ils avaient anonymisé les données et c’est la moindre des choses qu’ils auraient dû faire », a ajouté Cavoukian.
Les dossiers médicaux volés peuvent contenir des détails tels que des noms, des adresses résidentielles, des dates de naissance, des numéros d’identification de santé (moins les codes de version), des résultats de tests de laboratoire, des risques associés aux grossesses, des types de naissance, des procédures effectuées et des résultats éventuels, comme divulgué par BORN dans leur récent déclaration.
Selon les dernières mises à jour, aucune plate-forme ou base de données accessible n’a été fournie au public pour déterminer de manière concluante si ses données personnelles ont été exposées. BORN, une entité soutenue financièrement par le gouvernement provincial, joue un rôle central dans l’accumulation de données sur les grossesses et les accouchements en Ontario. Ils ont confirmé lundi une cyber-infraction survenue le 31 mai 2023, qui a conduit à la divulgation non désirée des dossiers médicaux de 1,4 million de personnes s’enquérant de leur grossesse et de 1,9 million de nouveau-nés supplémentaires dans la région.
Les cyber-coupables ont dupliqué des informations liées à la santé couvrant la fertilité, la grossesse, les soins aux nouveau-nés et la santé des enfants, qui résidaient sur un serveur de janvier 2010 à mai 2023.
Après avoir découvert cette violation de données, BORN a rapidement informé le public via un avis sur son site officiel et a contacté la Police provinciale de l’Ontario (OPP) et le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) au sujet de la situation.
Un porte-parole du Commissariat à l’information et à la protection de la vie privée de l’Ontario a déclaré Actualités mondiales dans un e-mail mardi, il a été informé de la violation le 14 juin et a rapidement ouvert un dossier pour approfondir l’affaire.
«Étant donné que notre enquête est en cours, nous ne sommes pas en mesure de fournir davantage de détails pour le moment. BORN a commencé à informer les personnes concernées hier », a déclaré le porte-parole.
Ann Cavoukin a exprimé son appréhension concernant le retard notable dans la notification au public de cette faille de sécurité.
« Je suis choquée… en mai, ils ont apparemment contacté la Police provinciale de l’Ontario et le commissaire à l’information de l’Ontario, et nous avons entendu des squats de leur part », a-t-elle commenté.
Pendant ce temps, Brett Callow, un expert en cybersécurité chez Emsisoft basé sur l’île de Vancouver, a souligné que les implications de cette violation transcendent les frontières de l’Ontario, compte tenu des données compromises remontant à 2010.
« C’est inévitable, car certaines des personnes qui se trouvaient en Ontario au moment où elles sont tombées enceintes ou ont eu un bébé auront depuis déménagé ailleurs. Les gens doivent être conscients que leurs données peuvent être disponibles et potentiellement utilisées à mauvais escient. Et soyez extrêmement prudent : surveillez de plus près les comptes bancaires et soyez à l’affût de toute activité suspecte », a-t-il déclaré.
Selon Callow, il n’existe actuellement aucune information concrète sur l’utilisation potentielle des données compromises, et aucun signe d’apparition de celles-ci sur le dark web.
« Mais cela pourrait changer à tout moment. Et bien que ces informations ne soient pas faciles à utiliser à des fins d’usurpation d’identité, elles pourraient potentiellement être combinées avec d’autres informations et utilisées à mauvais escient de cette manière », a-t-il déclaré.
Comment la violation de données de BORN Ontario s’est-elle produite ?
L’exposition des données s’est produite en raison d’une violation généralisée de l’application de transfert de fichiers, MOVEit.
Produit par la société Progress Software, basée au Massachusetts, MOVEit permet aux organisations de transférer en toute sécurité des fichiers et des données en interne et vers les clients. BORN a utilisé ce logiciel spécifiquement « pour effectuer des transferts de fichiers sécurisés ». »
Cependant, au cours de ce processus de transfert, les pirates ont réussi à dupliquer certains fichiers à partir d’un serveur appartenant à BORN.
L’éventail des établissements de santé touchés comprenait des hôpitaux, des cliniques de sages-femmes, des centres de fertilité et des laboratoires de tests génétiques prénatals. BORN les a détaillés sur son site officiel.
« Il est déconcertant que des données aussi sensibles soient stockées sur un outil de transfert de fichiers. S’il n’y a pas de besoin immédiat que les données soient accessibles, mieux vaut les archiver et les stocker de manière plus sécurisée, éventuellement hors ligne », a déclaré Brett Callow.
De nombreuses entités telles que des organismes gouvernementaux, le secteur privé et des institutions bancaires s’appuient sur MOVEit pour le transfert de fichiers. Callow a noté que même si les données qu’il contenait étaient peut-être cryptées, les pirates informatiques avaient quand même réussi à y pénétrer.
« Ils ont découvert une vulnérabilité qui leur a permis d’exploiter et de compromettre très rapidement de nombreuses organisations », a déclaré Callow.
Dans le passé, les cyber-délinquants, identifiés comme le gang du ransomware Clop, affirmaient avoir éliminé toutes les données provenant des entités gouvernementales et policières liées à l’incident MOVEit. Pourtant, Callow a exprimé son scepticisme quant à la véracité de cette affirmation.
« Étant donné qu’il s’agit de cybercriminels, ce serait une erreur de les croire. L’hypothèse la plus sûre serait qu’ils sont toujours en possession de ces données et qu’ils pourraient les utiliser d’une manière ou d’une autre dans le futur », a-t-il déclaré.
Après l’importante violation de données MOVEit en mai, de nombreuses organisations dans le monde en ont ressenti les répercussions, a déclaré Callow. Cette liste comprend un entrepreneur du gouvernement américain, plusieurs établissements d’enseignement américains et des compagnies d’assurance.
De plus, en juin, le gouvernement de la Nouvelle-Écosse a signalé une violation de données personnelles en raison d’une violation mondiale de la vie privée associée à l’application MOVEit.
Plusieurs prestataires de soins de santé en Ontario, notamment des hôpitaux, des cliniques de sages-femmes, des centres de fertilité et des unités de soins intensifs néonatals (UNSI), ont été touchés par la violation de données liée à BORN.
Actualités mondiales aurait recueilli les réponses de divers prestataires de soins sur les implications de la violation pour les patients et les mesures ultérieures qu’ils ont prises pour atténuer les inquiétudes.
TRIO Fertility, avec un réseau de 10 cliniques de fertilité à travers l’Ontario, a mentionné sur son site Web que BORN s’est officiellement excusé auprès de tous ses patients. Ils ont insisté sur le fait de traiter cet incident avec le plus grand sérieux et la plus grande préoccupation.
Dans une déclaration publique, Unity Health Toronto a déclaré : « Nous faisons partie des nombreux prestataires de soins de santé de l’Ontario qui partagent des renseignements personnels sur la santé avec BORN Ontario concernant la grossesse, l’accouchement et les soins du nouveau-né – des rencontres de soins de santé importantes qui peuvent affecter la santé tout au long de la vie.
De plus, un représentant de Trillium Health Partners a fait savoir qu’il était pleinement au courant de l’incident de cybersécurité de BORN Ontario. Ils ont conseillé aux patients et à leurs familles, qui ont des questions ou des préoccupations, de contacter directement BORN. Ils ont fourni un numéro de contact, 1-833-686-0106, et une adresse électronique, [email protected], pour le même.
Que pouvez-vous faire suite à une violation de données ?
Sur son site officiel, BORN a précisé qu’il analysait constamment les plateformes en ligne, y compris le dark web, pour identifier tout signe d’utilisation ou de mise en vente de données compromises. Jusqu’à présent, rien n’indique que les données divulguées apparaissent nulle part.
BORN a rassuré les personnes concernées en déclarant : « Vous n’avez aucune mesure supplémentaire à prendre. »
Cependant, ils ont souligné le besoin constant de vigilance lorsqu’il s’agit de protéger les informations personnelles. Cela implique de surveiller régulièrement les comptes en ligne pour détecter toute anomalie et de signaler rapidement toute activité suspecte aux autorités et prestataires de services appropriés. BORN a également donné un avertissement clair, affirmant qu’il n’initierait jamais de contact par e-mail, SMS ou appel téléphonique pour demander des informations personnelles sensibles.
L’année 2023 a été marquée par une recrudescence des défis en matière de sécurité numérique, plusieurs entreprises de premier plan étant confrontées à des cyberattaques et à des fuites de données. Des entreprises comme Twitter, Sony, Dymocks, MGMet Arceau de sécurité ont été confrontés à ces violations.
De même, Nookazon, Pour toujours 21, Duolingo, Discord.io, Laboratoires de vie, PSNI, Maxime, DMV de l’Oregonet CoWIN ont également été touchés, soulignant la nécessité cruciale de renforcer les défenses en matière de cybersécurité.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
