Πάνω από 33 εκατομμύρια άνθρωποι στη Γαλλία -σχεδόν ο μισός πληθυσμός της- έχουν πληγεί από τη μεγαλύτερη κυβερνοεπίθεση στην ιστορία της χώρας.
Στο στόχαστρο βρέθηκαν δύο γαλλικοί πάροχοι υπηρεσιών για ιατρικές ασφαλιστικές εταιρείες, με τις εταιρείες να παραδέχονται ότι τα δεδομένα εκατομμυρίων ανθρώπων εκτέθηκαν στους χάκερ.
"Είναι η πρώτη φορά που υπήρξε παραβίαση τέτοιας κλίμακας", δήλωσε την Πέμπτη ο Γιαν Παντόβα, δικηγόρος που ειδικεύεται στην προστασία των ψηφιακών δεδομένων και πρώην γενικός γραμματέας της γαλλικής αρχής προστασίας δεδομένων (CNIL) στο γαλλικό ραδιοτηλεοπτικό δίκτυο Franceinfo.
Σύμφωνα με τον Padova, πρόκειται για "τη μεγαλύτερη παραβίαση ασφαλείας στη Γαλλία".
Τι συνέβη;
Δύο εταιρείες - η Viamedis και η Almerys - είναι πάροχοι υπηρεσιών για ιατρικές ασφαλιστικές εταιρείες. Έπεσαν θύματα κυβερνοεπίθεσης που σημειώθηκε με διαφορά πέντε ημερών στις αρχές Φεβρουαρίου.
Σύμφωνα με τον πρώτο πάροχο, τη Viamedis, οι χάκερς έκαναν phishing και χρησιμοποίησαν τους κωδικούς πρόσβασης των επαγγελματιών υγείας για να μπουν στο σύστημα.
Η Almerys δήλωσε ότι οι χάκερς δεν είχαν παραβιάσει το κεντρικό της σύστημα, αλλά είχαν αποκτήσει πρόσβαση σε μια πύλη που χρησιμοποιούν οι επαγγελματίες υγείας. Οι δύο πάροχοι κατέθεσαν καταγγελίες στον εισαγγελέα και διεξάγεται έρευνα.
Ποια δεδομένα εκλάπησαν;
Πάνω από 33 εκατομμύρια άνθρωποι - κάτι λιγότερο από το ήμισυ του γαλλικού πληθυσμού - επηρεάστηκαν από τη διαρροή δεδομένων, η οποία περιελάμβανε στοιχεία όπως "η οικογενειακή κατάσταση, η ημερομηνία γέννησης και ο αριθμός κοινωνικής ασφάλισης, το όνομα του ασφαλιστή υγείας και η κάλυψη που παρείχε το συμβόλαιο" των ατόμων που επηρεάστηκαν, σύμφωνα με τη γαλλική αρχή προστασίας δεδομένων (CNIL).
Η CNIL διαβεβαίωσε ότι "δεν εμπλέκονται τραπεζικά στοιχεία, ιατρικά δεδομένα, ταχυδρομική διεύθυνση, αριθμός τηλεφώνου ή ηλεκτρονικό ταχυδρομείο".
Ποιες είναι οι συνέπειες;
Το "tiers payant", ένα σύστημα πληρωμών στο οποίο ο ασθενής δεν χρειάζεται να πληρώσει εκ των προτέρων το πλήρες κόστος των ιατρικών υπηρεσιών, μπορεί να μην είναι διαθέσιμο για ορισμένους επαγγελματίες υγείας, αλλά εξακολουθεί να είναι διαθέσιμο για τους ασθενείς.
Η CNIL προειδοποίησε τους χρήστες για τους κινδύνους ηλεκτρονικού "ψαρέματος", ιδίως καθώς τα νέα δεδομένα που διέρρευσαν θα μπορούσαν να συνδυαστούν με άλλες πληροφορίες από προηγούμενες παραβιάσεις δεδομένων.
Οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί και να ελέγχουν διπλά τη γνησιότητα των μηνυμάτων ηλεκτρονικού ταχυδρομείου, των κειμένων και των κλήσεων που ισχυρίζονται ότι προέρχονται από επίσημους οργανισμούς.
Τα άτομα των οποίων τα δεδομένα εκτέθηκαν σε κίνδυνο θα έρθουν σε επαφή για να ενημερωθούν ατομικά από την ασφάλειά τους για να συμμορφωθούν με τις κατευθυντήριες γραμμές του GDPR.