[États-Unis] Un établissement de santé porte plainte contre Amazon à la suite d’un vol de données

SalusCare est un établissement opérant dans le domaine de la santé mentale en Floride. Cette institution a subi une cyberattaque en mars 2021 à l’issue de laquelle 85 688 dossiers de patients et d'employés ont été compromis. Les données auraient été exfiltrées vers un compte de stockage Amazon par l’auteur du préjudice potentiellement d’origine ukrainienne. 

L'attaquant aurait eu accès à l'environnement Microsoft 365 de SalusCare après qu'un employé ait cliqué sur un lien malveillant dans un courriel de phishing. Cette action aurait déclenché un logiciel malveillant qui a exfiltré l'intégralité de la base de données de SalusCare vers deux espaces de stockage Amazon S3 liés au même compte de stockage Amazon AWS. 

Après avoir été notifié de l’attaque, Amazon a gelé temporairement l'accès aux deux espaces S3 ayant été présumément utilisés dans cette attaque. SalusCare a demandé l'accès aux journaux d'audit des appareils de stockage dans le cadre de son enquête afin de déterminer précisément quelles données avaient subies une violation par l'acteur de la menace. Amazon a refusé de fournir un journal d'audit ou une copie des données stockées dans les compartiments S3, car ils n'appartiennent pas à SalusCare. 

La structure a réagi au refus d'Amazon en déposant mercredi une plainte devant un tribunal fédéral afin qu'Amazon soit contraint de lui fournir les journaux d'audit et une copie du contenu des deux fichiers S3. Dans cette action, SalusCare demande également que Amazon suspende de manière permanente l'accès de l'attaquant présumé aux deux compartiments S3 qui contiendraient ses données.  

Certains dossiers subtilisés contiennent notamment des données à caractère personnel sur les conseils et les traitements psychiatriques et de toxicomanie des patients. D’autres contiennent des informations financières sensibles telles que les numéros de sécurité sociale et les numéros de carte de crédit des patients et des employés. Ces données à caractère personnel pourraient en effet être vendues sur l’internet sombre et potentiellement être utilisées pour commettre un vol d'identité, réaliser des achats ou encore faire pression sur des patients de l’établissement. 

Le média News-Press a signalé qu'un juge a accédé aux deux demandes de SalusCare le 25 Mars, l’affaire reste à suivre.