Страховая компания Alan в субботу предупредила клиентов своих корпоративных партнеров об инциденте безопасности, произошедшем у Almerys, ее провайдера сторонних платежей. Утечка потенциально затронула данные гражданского состояния, номер социального страхования и номер контракта страховщика. Однако Alan заверяет, что ее собственные системы не пострадали, а платежные данные, пароли и медицинская информация остаются в безопасности.
В мире здравоохранения назревает новое чувствительное дело: страховая компания Alan, получившая статус «единорога» и недавно привлекшая 100 миллионов евро инвестиций, начала рассылать электронные письма сотрудникам компаний-клиентов своих услуг, сообщая об инциденте безопасности, который мог привести к раскрытию персональных данных.
«В пятницу, 22 мая, наш провайдер, отвечающий за сторонние платежи (Almerys), проинформировал нас об инциденте безопасности, затронувшем их платформу», — указывает страховая компания, которая также опубликовала информационное сообщение на своем сайте.
Данные гражданского состояния и номера социального страхования под угрозой
Инцидент привел к утечке данных гражданского состояния клиентов (имя, фамилия, дата и место рождения), номера социального страхования, номера контракта, а также дат начала и окончания действия страховки.
Банковская информация, контактные данные, пароли и медицинская информация (включая сведения об услугах или возмещениях) не затронуты инцидентом и остаются в безопасности.
Alan утверждает, что ее собственные системы не подверглись взлому. «Ваш личный кабинет Alan по-прежнему доступен и защищен через ваше приложение, а управление вашими возмещениями продолжается без перебоев», — пишет компания.
Со стороны Almerys обнаружение инцидента привело к отключению сайта обработки запросов. «В результате, медицинские работники (оптики, аудиологи, больницы) могут столкнуться с трудностями при подаче запросов на обслуживание для клиентов Alan», — предупреждает страховая компания.
На данном этапе Alan распространяет информацию превентивно, поясняя, что пока не располагает детальным списком затронутых лиц или учетных записей. В ожидании более точной индивидуальной информации, страховая компания призывает клиентов и застрахованных лиц проявлять бдительность, особенно в отношении подозрительных сообщений, касающихся здоровья или выдающих себя за учреждения и организации сектора.
«Мы немедленно уведомили ACPR (орган регулирования страхования) и также готовим уведомление для CNIL», — сообщает Alan.
15 миллионов номеров социального страхования могли попасть в Сеть?
«Инцидент произошел из-за мошеннического проникновения на сайт обработки запросов Almerys», — предполагает Alan. Затронутый провайдер пока публично не комментировал ситуацию.
Это предупреждение появилось спустя два дня после того, как хакер заявил об успешной атаке на Almerys и 21 мая на специализированном форуме предложил к продаже файл, содержащий 44 миллиона записей, включая 15,45 миллиона уникальных номеров социального страхования. «Часто все члены одной семьи связаны с одним номером социального страхования, что обеспечивает полный доступ к семейной информации», — хвастается хакер.
Однако на данном этапе ничего не позволяет подтвердить реальный масштаб этой новой эксфильтрации. Следует напомнить, что платформа уже сталкивалась с крупным инцидентом безопасности в начале 2024 года, одновременно со своим аналогом и конкурентом Viamedis. Та двойная утечка, по данным CNIL, затронула «более 33 миллионов человек». Это дело стало причиной начала расследования прокуратурой Парижа. Два года спустя этот новый инцидент, реальный масштаб которого пока неизвестен, подтверждает, что цепочка управления данными о здоровье по-прежнему привлекает злоумышленников.