Nous sommes presque à la fin de 2024, une année qui restera marquée par certaines des violations de données les plus importantes et les plus dommageables de l’histoire récente. Et juste au moment où vous pensez que certains de ces hacks ne peuvent pas être pires, c'est effectivement le cas.
Qu'il s'agisse d'énormes réserves d'informations personnelles de clients récupérées, volées et publiées en ligne, ou de quantités de données médicales couvrant la plupart des personnes aux États-Unis volées, les pires violations de données de 2024 ont dépassé le milliard d'enregistrements volés et continuent d'augmenter. Ces violations affectent non seulement les individus dont les données ont été irrémédiablement exposées, mais encouragent également les criminels qui profitent de leurs cyberattaques malveillantes.
Voyagez avec nous dans un passé pas si lointain pour découvrir comment se sont déroulés certains des plus grands incidents de sécurité de 2024, leur impact et, dans certains cas, comment ils auraient pu être stoppés.
Les violations de données d'AT&T affectent « presque tous » ses clients, et bien d'autres non-clients
Pour AT&T, 2024 a été une très mauvaise année pour la sécurité des données. Le géant des télécommunications a confirmé non pas une, mais deux violations de données distinctes à quelques mois d’intervalle.
En juillet, AT&T a déclaré que les cybercriminels avaient volé une cache de données contenant les numéros de téléphone et les enregistrements d’appels de « presque tous » ses clients, soit environ 110 millions de personnes, sur une période de six mois en 2022 et dans certains cas plus longtemps. Les données n'ont pas été volées directement à partir des systèmes d'AT&T, mais à partir d'un compte qu'il possédait auprès du géant des données Snowflake (nous y reviendrons plus tard).
Bien que les données AT&T volées ne soient pas publiques (et un rapport suggère qu'AT&T a payé une rançon pour que les pirates informatiques suppriment les données volées) et que les données elles-mêmes ne contiennent pas le contenu des appels ou des messages texte, les « métadonnées » révèlent toujours qui a appelé. qui et quand, et dans certains cas, les données peuvent être utilisées pour déduire des emplacements approximatifs. Pire encore, les données incluent les numéros de téléphone de non-clients qui ont été appelés par des clients d'AT&T pendant cette période. Ces données rendues publiques pourraient être dangereuses pour les personnes à risque plus élevé, telles que les survivantes de violence domestique.
Il s'agissait de la deuxième violation de données d'AT&T cette année. Plus tôt en mars, un courtier en violation de données a mis en ligne un cache complet de 73 millions de dossiers clients sur un forum connu sur la cybercriminalité, à la portée de tous, environ trois ans après qu'un échantillon beaucoup plus petit ait été mis en ligne.
Les données publiées comprenaient des informations personnelles sur les clients, notamment leurs noms, numéros de téléphone et adresses postales, certains clients confirmant que leurs données étaient exactes.
Mais ce n'est que lorsqu'un chercheur en sécurité a découvert que les données exposées contenaient des codes d'accès cryptés utilisés pour accéder au compte AT&T d'un client que le géant des télécommunications a pris des mesures. Le chercheur en sécurité avait déclaré à TechCrunch à l'époque que les codes d'accès cryptés pouvaient être facilement déchiffrés, exposant quelque 7,6 millions de comptes clients AT&T existants au risque de piratage. AT&T a forcé la réinitialisation des codes d'accès des comptes de ses clients après que TechCrunch a alerté l'entreprise des conclusions du chercheur.
Un grand mystère demeure : AT&T ne sait toujours pas comment les données ont été divulguées ni d'où elles proviennent.
Les pirates de Change Healthcare ont volé des données médicales sur « une proportion substantielle » de personnes en Amérique
En 2022, le ministère américain de la Justice a poursuivi le géant de l'assurance maladie UnitedHealth Group pour bloquer sa tentative d'acquisition du géant des technologies de la santé Change Healthcare, craignant que l'accord ne donne au conglomérat de soins de santé un large accès à environ « la moitié de toutes les réclamations d'assurance maladie des Américains » chaque année. . La tentative visant à bloquer l’accord a finalement échoué. Puis, deux ans plus tard, quelque chose de bien pire s’est produit : Change Healthcare a été piraté par un groupe prolifique de ransomwares ; ses toutes-puissantes banques de données de santé sensibles ont été volées parce que l'un des systèmes critiques de l'entreprise n'était pas protégé par une authentification multifacteur.
Le long temps d'arrêt provoqué par la cyberattaque s'est prolongé pendant des semaines, provoquant des pannes généralisées dans les hôpitaux, les pharmacies et les cabinets de soins de santé à travers les États-Unis. Mais les conséquences de la violation de données ne sont pas encore pleinement connues, même si les conséquences pour les personnes concernées seront probablement irréversibles. UnitedHealth affirme que les données volées – pour lesquelles il a payé les pirates informatiques pour en obtenir une copie – comprennent des informations personnelles, médicales et de facturation sur une « proportion substantielle » de personnes aux États-Unis.
UnitedHealth n'a pas encore fixé de chiffre sur le nombre de personnes touchées par la violation. Le directeur général du géant de la santé, Andrew Witty, a déclaré aux législateurs que cette violation pourrait affecter environ un tiers des Américains, voire davantage. Pour l'instant, il s'agit simplement de combien des centaines de millions de personnes aux États-Unis sont touchées.
L'attaque du ransomware Synnovis a déclenché des pannes généralisées dans les hôpitaux de Londres
Une cyberattaque en juin contre le laboratoire de pathologie britannique Synnovis – un laboratoire d'analyses de sang et de tissus pour les hôpitaux et les services de santé de la capitale britannique – a provoqué une perturbation généralisée des services aux patients pendant des semaines. Les autorités locales du National Health Service qui s'appuient sur le laboratoire ont reporté des milliers d'opérations et de procédures à la suite du piratage, provoquant la déclaration d'un incident critique dans le secteur de la santé britannique.
Un gang de ransomwares basé en Russie a été accusé d’être responsable de la cyberattaque, qui a entraîné le vol de données liées à quelque 300 millions d’interactions avec des patients remontant à un « nombre important » d’années. Tout comme la violation de données chez Change Healthcare, les conséquences pour les personnes concernées seront probablement importantes et durables.
Certaines données ont déjà été publiées en ligne dans le but d’extorquer le laboratoire à payer une rançon. Synnovis aurait refusé de payer la rançon de 50 millions de dollars aux pirates, empêchant le gang de profiter du piratage, mais laissant le gouvernement britannique se démener pour trouver un plan au cas où les pirates publieraient des millions de dossiers de santé en ligne.
L'un des trusts du NHS qui gère cinq hôpitaux à Londres touchés par les pannes n'aurait pas réussi à répondre aux normes de sécurité des données exigées par le service de santé britannique au cours des années qui ont précédé la cyberattaque de juin contre Synnovis.
Ticketmaster s'est fait voler 560 millions de dossiers lors du piratage de Snowflake.
Une série de vols de données commis par le géant des données cloud Snowflake a rapidement fait boule de neige pour devenir l'une des violations les plus importantes de l'année, grâce aux grandes quantités de données volées à ses entreprises clientes.
Les cybercriminels ont volé des centaines de millions de données client de certaines des plus grandes entreprises du monde – y compris 560 millions d'enregistrements présumés de Ticketmaster, 79 millions d'enregistrements d'Advance Auto Parts et quelque 30 millions d'enregistrements de TEG – en utilisant les informations d'identification volées d'ingénieurs de données ayant accès à les environnements Snowflake de leur employeur. De son côté, Snowflake n'exige pas (ni n'impose) à ses clients d'utiliser la fonction de sécurité, qui protège contre les intrusions reposant sur des mots de passe volés ou réutilisés.
La société de réponse aux incidents Mandiant a déclaré qu'environ 165 clients de Snowflake se sont vu voler des données sur leurs comptes, dans certains cas un « volume important de données client ». Jusqu'à présent, seule une poignée des 165 entreprises ont confirmé que leurs environnements étaient compromis, ce qui inclut également des dizaines de milliers de dossiers d'employés de Neiman Marcus et de Santander Bank, ainsi que des millions de dossiers d'étudiants du Los Angeles Unified School District. Attendez-vous à ce que de nombreux clients de Snowflake se manifestent.
Mentions (dés)honorables
Cencora notifie à plus d'un million de personnes qu'elle a perdu leurs données :
Le géant pharmaceutique américain Cencora a révélé en février une violation de données impliquant la compromission des données de santé des patients, informations obtenues grâce à ses partenariats avec des fabricants de médicaments. Cencora a fermement refusé de dire combien de personnes sont concernées, mais un décompte réalisé par TechCrunch montre que plus d'un million de personnes ont été informées jusqu'à présent. Cencora affirme avoir servi plus de 18 millions de patients à ce jour.
La violation de données MediSecure affecte la moitié de l’Australie :
Près de 13 millions de personnes en Australie, soit environ la moitié de la population du pays, se sont vu voler des données personnelles et de santé lors d'une attaque de ransomware contre le fournisseur de médicaments d'ordonnance MediSecure en avril. MediSecure, qui a distribué des ordonnances à la plupart des Australiens jusqu'à fin 2023, s'est déclarée insolvable peu de temps après le vol massif de données clients.
Kaiser a partagé des données de santé sur des millions de patients avec des annonceurs :
Le géant américain de l'assurance maladie Kaiser a révélé une violation de données en avril après avoir partagé par inadvertance les informations privées sur la santé de 13,4 millions de patients, en particulier les termes de recherche sur des sites Web concernant les diagnostics et les médicaments, avec des entreprises technologiques et des annonceurs. Kaiser a déclaré avoir utilisé son code de suivi pour l'analyse de sites Web. La compagnie d'assurance maladie a révélé l'incident à la suite de plusieurs autres startups de télésanté, comme Cerebral, Monument et Tempest, admettant qu'elles aussi partageaient des données avec des annonceurs.
L'USPS a également partagé l'adresse postale avec les géants de la technologie :
Et puis ce fut au tour du service postal américain de partager les adresses postales des utilisateurs connectés avec des annonceurs comme Meta, LinkedIn et Snap, en utilisant un code de suivi similaire fourni par les entreprises. L'USPS a supprimé le code de suivi de son site Web après que TechCrunch a informé le service postal en juillet du partage inapproprié de données, mais l'agence n'a pas précisé combien de personnes avaient collecté des données. USPS comptait plus de 62 millions d’utilisateurs d’Informed Delivery en mars 2024.
La violation de données d’Evolve Bank a affecté les clients fintech et startups :
Une attaque de ransomware ciblant Evolve Bank a vu les informations personnelles de plus de 7,6 millions de personnes volées par des cybercriminels en juillet. Evolve est un géant de la banque en tant que service qui dessert principalement des sociétés de technologie financière et des startups, comme Affirm et Mercury. En conséquence, de nombreuses personnes informées de la violation de données n'avaient jamais entendu parler d'Evolve Bank, et encore moins n'avaient jamais eu de relation avec l'entreprise, avant sa cyberattaque.
Les données publiques nationales font faillite après le vol de millions de SSN
La société derrière le courtier de données National Public Data a déposé une demande de mise en faillite (chapitre 11) en octobre, quelques mois après qu'une violation massive de données ait révélé quelque trois milliards de dossiers affectant environ 270 millions de personnes, selon diverses analyses réalisées par des chercheurs en sécurité. Le courtier en données permettait à ses clients payants d'accéder à ses vastes bases de données de noms, dates de naissance, adresses e-mail et postales, numéros de téléphone et numéros de sécurité sociale (même si toutes les données n'étaient pas exactes). La société a déclaré qu'elle avait dû déposer le bilan car elle ne pouvait plus générer les revenus nécessaires pour faire face au déluge de recours collectifs et à la responsabilité croissante des régulateurs étatiques et fédéraux.
Publié pour la première fois le 28 juin et mis à jour le 14 octobre.