La compagnie d’assurance américaine Humana victime de fuite de données

La compagnie d’assurance américaine Humana annonce avoir été victime d’une violation des données affectant 6 000 de ses clients. Une base de données SQL contenant des dossiers médicaux sensibles aurait été modifiée avant d’être mise en vente sur un forum de piratage connu. Les acteurs de la menace pourraient également accéder à d’autres services de la société via des appels API. 

Une succession de fuite chez Humana 

Humana, une pointure sur le marché de l’assurance aux États-Unis (la société fait partie des plus puissantes du pays), a subi une violation des données dans l’une de ses bases de données SQL. Cela a conduit à l’exposition d’informations médicales sensibles de plus de 6 000 clients. Les données ont été partagées sur un forum bien connu pour le recel de données volées. Selon les rapports, les données divulguées datent de 2019.

Quelques mois seulement avant cette annonce, Humana aurait déjà averti 65 000 de ses clients d’une faille de sécurité auprès d’un de ses sous-traitants, une situation qui aurait causé une fuite de données entre octobre et décembre 2020. Le doute s’installe alors sur les données récemment exposées. Si la majorité des données sur l’échantillon publié date de 2019, un utilisateur du forum affirme que les données qu’il a téléchargées contenaient des données de 2020. 

Détails sur les données volées

Au total, la base de données SQL exposée contenait environ 823 000 lignes de données médicales de près de 6 487 clients basés aux États-Unis. Dans les détails, cette base de données volée comprenait entre autres les noms des clients, leur adresse postale, leur dossier Medicare ou encore des liens vers des fichiers médias (photo et/ou vidéo) qui semblent être des résultats d’examens comme la radiographie. 

Les données ont été mises à disposition du public le 16 juillet dernier via un lien Wetransfer. Toute personne active sur le forum de piratage sont supposées y avoir accès. Compte tenu de la sensibilité des données exfiltrées, cette violation risque d’avoir une incidence significative sur les clients de Humana. Les données peuvenet effectivement être utilisées pour mener une attaque de phishing, commettre une fraude à l’assurance, extorquer une rançon aux patients, etc.

Pin It on Pinterest