« La curiosité est un vilain défaut, sauf quand il s’agit de sécuriser vos donnés! » Ah, si seulement Welltok avait pris cet adage au sérieux! Cette entreprise, qui chouchoute habituellement les patients avec des programmes de fidélisation, s’est fait prendre les doigts dans la porte dérobée de la cybersécurité.
L’affaire est aussi juteuse qu’un roman d’espionnage, sauf que les victimes ici, ce sont plus de 1,6 million de personnes. Qui l’eût cru ? Un serveur nommé MOVEit Transfer, dont la principale vocation est de transbahuter des données sensibles, s’est transformé en boulevard pour hackers après une vulnérosité révélée plus tôt dans l’année. Welltok, tête en l’air, n’avait rien remarqué en juillet, mais en août, la lumière s’est faite : « Houston, nous avons un soustraction de données! »
Surprise : les données incluaient des noms, des dates de naissance, des adresses et des infos de santé !
Les mauvaises nouvelles s’empilent comme dans un épisode de « Black Mirror » : numéro de sécu, infos Medicare et Medicaid et même des détails sur les assurances santé ont été dérobés! Pour ne pas faire de vagues, Welltok a joué à cache-cache avec Google, en codant sa page de notification pour qu’elle soit invisible aux moteurs de recherche. Pas très sportif, n’est-ce pas ?
Au dénominateur commun de cette affaire, on retrouve des plans de santé collectifs, tel ceux de Stanford Health Care et consorts, que Welltok a gentiment informés le… 18 octobre. Cerise sur le gâteau, Corewell Health et Sutter Health, entre autres, lèvent le doigt pour dire qu’eux aussi, ils se sont fait pirater via Welltok, et le nombre de patients impactés dépasse largement ce que Welltok a admis.
Pour compléter le tableau, on découvre que la célèbre Clop ransomware gang serait derrière cet exploit digne d’Hollywood, avec des impacts sur plus de 2 600 organisations et un compteur de victimes individuelles dépassant les 77 millions. On n’en attendait pas moins d’eux!
Welltok est aux abonnés absents pour commenter, et pendant ce temps, les cyberattaques se succèdent comme des saisons de série Netflix. Avec un tel scénario, une chose est sûre : la confidentialité des données est plus fragile qu’une connexion Internet en plein vol. Et comme dirait l’autre, « Un bon mot de passe vaut mieux que deux tu l’auras ».
Source : Techcrunch
