La société américaine de soins de santé EyeMed a conclu un règlement de 600 000 $ à la suite d’une violation de données qui a compromis les dossiers de 1,2 million de personnes.

EyeMed est un fournisseur d’avantages de réseau de vision qui offre des tarifs réduits à ses membres.

Il a accepté de payer État de New York 600 000 $ en frais de règlement, ainsi que pour adhérer à une liste de pratiques de sécurité, y compris le cryptage des données sensibles et la réalisation de tests d’intrusion.

L’incident de sécurité s’est produit en juin 2020 lorsqu’un acteur non autorisé a eu accès à un compte de messagerie EyeMed.

Au cours d’une intrusion d’une semaine, l’attaquant a eu accès et a pu consulter des e-mails et des pièces jointes datant de six ans auparavant, une enquête a trouvé (PDF).

Les e-mails contenaient un ou plusieurs des éléments de données consommateurs suivants : noms ; Contactez
des informations, y compris des adresses ; dates de naissance; informations sur les comptes, y compris numéros d’identification pour les comptes d’assurance maladie et les comptes d’assurance vision ; numéros de sécurité sociale complets ou partiels ; Medicaid, permis de conduire ou autres numéros d’identification gouvernementaux ; actes de naissance ou de mariage; et des diagnostics médicaux et des informations sur les traitements.

Chronologie

Un mois après l’intrusion initiale, en juillet 2020, l’attaquant a envoyé environ 2 000 e-mails de phishing depuis le compte de messagerie compromis aux clients EyeMed, à la recherche d’identifiants de connexion pour leurs comptes.

EyeMed a bloqué l’accès de l’attaquant après avoir remarqué les e-mails de phishing et reçu des demandes de clients à propos de ces e-mails.

En septembre 2020, la société a commencé à informer les consommateurs concernés dont les informations personnelles ont été compromises.

TU PEUX AIMER Un bureau public californien admet une violation de données de santé Covid-19

Sur les 1,2 million de personnes touchées, 98 632 venaient de New York. Une enquête menée par le procureur général de New York, Letitia James, a mis en évidence un certain nombre de lacunes en matière de sécurité qui étaient présentes au moment de l’incident.

UN rapport du procureur général de New York se lit comme suit : « EyeMed n’a pas réussi à mettre en œuvre l’authentification multifacteur (MFA) pour le compte de messagerie concerné, malgré le fait que le compte était accessible via un navigateur Web et contenait un grand volume d’informations personnelles sensibles des consommateurs.

« EyeMed était conscient de l’importance de la MFA pour une protection raisonnable des données, ayant exigé la MFA pendant des années avant l’attaque pour que les utilisateurs accèdent au VPN d’EyeMed. »

La société a également omis d’employer des protocoles de « gestion suffisante des mots de passe ». Il a défini une longueur minimale de mot de passe de seulement huit caractères pour le compte de messagerie concerné, indique le rapport, tandis que le mot de passe utilisé par l’attaquant pour accéder au compte était « insuffisamment complexe compte tenu de la sensibilité des informations ».

En outre, EyeMed n’a pas correctement enregistré et surveillé ses comptes et n’aurait pas dû conserver les données pendant plus de six ans, a déclaré le procureur général.

Privé et protégé

« Les New-Yorkais devraient avoir l’assurance que leurs informations personnelles sur la santé resteront privées et protégées », a déclaré la procureure générale de New York, Letitia James.

« EyeMed a trahi cette confiance en ne surveillant pas son propre système de sécurité, qui à son tour a compromis les informations personnelles de millions d’individus. Que cet accord signale notre engagement continu à tenir les entreprises responsables et à veiller à ce qu’elles veillent au mieux des intérêts des New-Yorkais.

« Mon bureau continue de surveiller activement l’État pour toute violation potentielle, et nous continuerons à faire tout ce qui est en notre pouvoir pour protéger les New-Yorkais et leurs informations personnelles. »