Fuite chez Star Health et extorsion d'un haut responsable (Inde, 2024)

Un pirate utilisant l'alias xenZen a exposé les données personnelles et médicales de 31,2 millions de clients de Star Health via des bots Telegram, accompagnées de 5,76 millions de dossiers de sinistres. La fuite a dégénéré en un drame public d'extorsion impliquant un haut responsable de Star Health.

En août 2024, Star Health and Allied Insurance — le plus grand assureur santé indépendant d'Inde — est devenu l'épicentre de l'un des scandales de fuite de données les plus lourds de conséquences du pays. Un acteur de menace utilisant l'alias xenZen a publiquement affirmé avoir accès aux dossiers de 31,2 millions de clients, exposés via des bots Telegram personnalisés que n'importe qui pouvait interroger.

Ce qui s'est passé

À la mi-2024, xenZen avait mis en place des bots Telegram capables de renvoyer des données clients à la demande : 31 216 953 dossiers clients et 5 758 425 dossiers de sinistres. Le jeu de données était d'une richesse inhabituelle, comprenant numéros PAN, numéros de téléphone, adresses de domicile, données fiscales et dossiers médicaux — exactement la combinaison que la loi indienne émergente sur la protection des données personnelles numériques est conçue pour prévenir.

Ce qui a transformé une fuite déjà grave en scandale national, c'est la correspondance d'extorsion que xenZen a ensuite publiée. Selon l'acteur — corroboré par des preuves vidéo des échanges e-mail — les données ont d'abord été proposées à un haut responsable de Star Health pour environ 28 000 $. Le responsable a ensuite exigé 150 000 $, xenZen alléguant qu'une partie de cette demande était présentée comme une compensation due à la direction pour avoir laissé la fuite se poursuivre.

L'implication d'une complicité interne a transformé l'affaire d'un échec de sécurité en un scandale de gouvernance et d'éthique.

Impact

31,2 millions de dossiers clients exposés, y compris PAN, adresse, données fiscales et médicales.
5,76 millions de dossiers de sinistres exposés.
Bots Telegram démantelés en octobre 2024 par l'action coordonnée de la Haute Cour de Madras, de I4C et de la task force indienne de cybercriminalité.
Pénalité réglementaire proposée de 250 crores de roupies (~30 M$) au titre du cadre DPDP indien.
Les allégations de complicité d'un haut responsable ont déclenché des revues de gouvernance et des actions collectives en justice.

Pourquoi c'est important

L'incident Star Health est la fuite par laquelle le régime indien de protection des données est devenu adulte. La loi DPDP, encore en train de stabiliser sa posture d'application en 2024, s'est vu offrir un cas de référence d'école. Et l'implication présumée de la haute direction a recadré le débat public : non plus « à quel point les systèmes des assureurs sont-ils sécurisés », mais « à quel point les personnes qui les dirigent sont-elles dignes de confiance ».

Chronologie

1 juillet 2024

Des bots Telegram sont créés pour distribuer les dossiers clients de Star Health — 31 216 953 dossiers clients et 5 758 425 dossiers de sinistres.

13 août 2024

Un acteur utilisant l'alias « xenZen » revendique publiquement l'accès aux données clients de Star Health, y compris les informations PAN, numéros de téléphone, adresses de domicile, données fiscales et dossiers médicaux.

1 septembre 2024

xenZen publie des preuves vidéo d'une correspondance e-mail avec un haut responsable de Star Health, alléguant un accord initial de 28 000 $ puis une demande ultérieure de 150 000 $ pour maintenir le flux de fuites — impliquant la complicité d'un initié.

1 octobre 2024

La Haute Cour de Madras, les forces de l'ordre indiennes et la task force cybercriminalité I4C coordonnent le démantèlement des bots Telegram distribuant les données.

1 janvier 2025

Star Health s'expose à une pénalité proposée de 250 crores de roupies (~30 M$) au titre de la loi indienne émergente sur la protection des données personnelles numériques (DPDP).

Sources

bwhealthcareworld.comhttps://www.bwhealthcareworld.com/article/massive-data-breach-exposes-personal-information-of-31-crore-star-health-customers-535915

indiatvnews.comhttps://www.indiatvnews.com/news/india/star-health-insurance-data-leak-data-of-31-million-customers-up-on-sale-for-150-000-2024-10-09-956357

dpdpconsultants.comhttps://www.dpdpconsultants.com/newsletter.php?id=22&title=star-health-faces-250-cr-penalty-after-data-breach-raising-dpdp-concerns

Incidents liés

Fuite de donnéesInconnu23 avril 2026

Wazari: les données clients en fuite après la cyberattaque d’Assuréa

Le courtier en assurance Wazari informe ses clients d’un incident de sécurité lié à une attaque externe ayant touché un outil de gestion et de stockage

Victim: Wazari

Fuite de donnéesInconnu21 avril 2026

Sterimed : des fichiers internes publiés après une cyberattaque

Le groupe STERIMED, spécialiste des emballages de stérilisation et solutions destinées au secteur médical, serait victime d’une cyberattaque avec fuite de

Victim: Sterimed

Fuite de donnéesInconnu16 avril 2026

Clinique de l’Yvette : une fuite des imageries médicales revendiqués

La Clinique de l'Yvette de Longjumeau serait visée par une cyberattaque, avec mise en ligne de données et revendication d’un accès administrateur par un

Victim: Clinique de l’Yvette

Fuite de donnéesInconnu15 avril 2026

Assuréa : fuite de 150 Go de données (140k leads et 11k contrats)

Le hacker Dumpsec affirme détenir, après une cyberattaque, une base massive issue d’Assuréa, courtier en assurance appartenant au groupe Meilleurtaux.

Victim: Assuréa