Violation de données Anthem Inc.
Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.
- Victime
- Anthem Inc.
- Perte
- $260.0M
- données
- 78.8M
- utilisateurs
- 78.8M
Le 4 février 2015, Anthem Inc. — à l'époque le deuxième plus grand assureur santé américain — a divulgué publiquement que des attaquants avaient volé les informations personnelles de 78,8 millions de membres actuels et anciens. Il s'agissait, à l'époque, de la plus grande violation du secteur de la santé de l'histoire des États-Unis, et de l'exemple le plus cité de collecte cyber étatique chinoise contre des infrastructures américaines riches en données personnelles durant la campagne 2014-2018 qui a également visé l'OPM, Marriott/Starwood et Equifax.
Ce qui s'est passé
L'intrusion a commencé par un spearphishing d'un administrateur informatique d'une filiale d'Anthem en avril 2014. Les identifiants volés ont donné aux attaquants un accès au réseau d'entreprise d'Anthem, où ils ont passé des mois à établir une persistance, à cartographier l'environnement et finalement à obtenir l'accès à l'entrepôt de données d'entreprise qui consolidait les données des membres à travers les régimes régionaux d'Anthem.
À partir d'environ le 10 décembre 2014, les opérateurs ont exécuté des requêtes en masse contre l'entrepôt de données, extrayant les dossiers des membres par lots. Le schéma des requêtes était suffisamment inhabituel pour qu'un administrateur de base de données d'Anthem remarque le 27 janvier 2015 que des requêtes s'exécutaient sous ses propres identifiants alors qu'il n'était pas activement connecté — et signale l'activité. Anthem a divulgué publiquement la violation huit jours plus tard.
Les données exfiltrées comprenaient des noms, dates de naissance, numéros de sécurité sociale, adresses, adresses e-mail, informations professionnelles et données de revenus pour environ 78,8 millions de personnes. Point crucial, aucun dossier médical ni aucune donnée de paiement financier ne figuraient dans la base de données affectée — mais l'ampleur des données personnelles était suffisante à des fins d'usurpation d'identité, d'ingénierie sociale et (selon l'attribution du gouvernement américain) de contre-espionnage.
Impact
- 78,8 millions de personnes ont vu leurs données personnelles exposées.
- Règlement de recours collectif de 115 millions de dollars en 2017 — le plus grand règlement de recours collectif pour violation de données aux États-Unis à l'époque.
- Règlement HIPAA de 16 millions de dollars avec l'Office for Civil Rights du HHS en 2018 — la plus grande sanction HIPAA de l'histoire des États-Unis.
- Règlement de 39,5 millions de dollars avec les procureurs généraux multi-États en 2020.
- Coût total divulgué : environ 260 millions de dollars avant assurance.
Attribution
Mandiant et Symantec ont attribué indépendamment l'opération à des acteurs étatiques chinois dans les semaines suivant la divulgation. Le cluster d'acteurs — nommé Black Vine par Symantec et recoupant Deep Panda dans la taxonomie de CrowdStrike — a été lié à de multiples intrusions dans les secteurs américains de la santé et de l'aérospatiale, notamment :
- Anthem (2015) — 78,8 M de dossiers
- Premera Blue Cross (2014, divulguée en 2015) — 11 M de dossiers
- CareFirst BlueCross BlueShield (2014, divulguée en 2015) — 1,1 M de dossiers
- VAE Inc. (sous-traitant de défense)
- United Airlines (2015)
En mai 2019, le DOJ américain a rendu public un acte d'accusation nommant Fujie Wang et un complice non identifié pour l'intrusion chez Anthem spécifiquement, ainsi que trois autres violations d'entreprises entre 2014 et 2015. L'acte d'accusation alléguait que les attaquants opéraient depuis la Chine ; Wang n'a pas été arrêté ni extradé.
La thèse de la collecte de renseignement — selon laquelle il s'agissait d'un effort de l'État chinois pour constituer des dossiers personnels sur des personnes américaines via des dossiers de santé, gouvernementaux, hôteliers et de bureaux de crédit — s'est consolidée au fil du temps à mesure que le schéma de ciblage du même cluster d'acteurs s'est accumulé.
Pourquoi c'est important
Anthem fait partie de la campagne de collecte chinoise des « big four » — Anthem (santé), OPM (habilitations gouvernementales), Marriott / Starwood (voyages) et Equifax (historique de crédit). Ensemble, ces quatre jeux de données décrivent une population américaine complète : où les gens ont vécu, où ils ont voyagé, pour qui ils travaillent, à quoi ressemble leur historique financier et quelles sont leurs conditions médicales.
La valeur stratégique du jeu de données combiné pour le ciblage du renseignement étranger constitue la leçon centrale de politique de sécurité. Aucune intervention politique américaine depuis n'a permis de récupérer les données volées, et le désavantage stratégique est permanent.
L'affaire Anthem a également catalysé :
- L'expansion de l'application de la loi HIPAA par l'Office for Civil Rights du HHS, avec des plafonds de sanction par infraction nettement plus élevés et des enquêtes plus agressives.
- Une activité accrue des procureurs généraux des États sur les violations dans la santé, les règlements coordonnés multi-États devenant la norme plutôt que l'exception.
- L'adoption par le secteur de la santé de la MFA et de la segmentation pour les infrastructures administratives et de requêtes sur entrepôts, là où elles avaient auparavant été considérées comme des zones de confiance interne.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$100.0M
- Remédiation$145.0M
- Amendes & règlements$39.5M
Chronologie
Intrusion initiale via spearphishing d'un administrateur informatique d'une filiale d'Anthem. Les identifiants volés donnent accès à l'entrepôt de données d'entreprise d'Anthem.
Les opérateurs commencent des requêtes en masse contre l'entrepôt de données d'entreprise d'Anthem, exfiltrant les données personnelles des clients à un rythme élevé.
Un administrateur de base de données d'Anthem remarque des requêtes inhabituelles exécutées sous ses propres identifiants et signale l'activité.
Anthem divulgue publiquement la violation touchant 78,8 millions de membres actuels et anciens.
FireEye / Mandiant attribue publiquement l'opération à des acteurs étatiques chinois (cluster Black Vine).
Anthem règle un recours collectif pour 115 millions de dollars — le plus grand règlement de recours collectif pour violation de données aux États-Unis à l'époque.
Anthem accepte un règlement HIPAA de 16 M$ avec l'Office for Civil Rights du HHS — la plus grande sanction HIPAA de l'histoire des États-Unis.
Le DOJ américain inculpe Fujie Wang et un complice (désigné uniquement comme « John Doe ») pour l'intrusion chez Anthem ainsi que trois autres violations d'entreprises entre 2014 et 2015.
Sources
- justice.govhttps://www.justice.gov/opa/pr/member-sophisticated-china-based-hacking-group-indicted-series-computer-intrusions-including
- oag.ca.govhttps://oag.ca.gov/system/files/attachments/press_releases/AVC%20Anthem%20Final.pdf
- ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2018/10/anthem-pay-115-million-largest-data-breach-settlement-history