Cybercriminelen maakten gegevens van meer dan 33 miljoen Franse burgers buit nadat ze inbraken bij organisaties die de betalingen van zorg voor hun rekening nemen.
Hackers hebben persoonsgegevens van meer dan 33 miljoen Fransen gestolen uit de databases van Viamedis en Almerys. Dat zijn twee bedrijven die instaan voor de derdepartijbetalingen als onderdeel van het Franse zorg- en ziekteverzekeringssysteem. Bijna de helft van alle inwoners van Frankrijk zijn zo slachtoffer.
Grote buit
Hackers maakten onder andere data over de burgerlijke staat, geboortedatums en verzekeringsnummers buit. Ook de naam van de zorgverzekeraar en modaliteiten van het afgesloten contract liggen op tafel. Privacy-autoriteit CNIL ( Commission nationale de l’informatique et des libertés) benadrukt dat medische gegevens en bankgegevens niet getroffen zijn. De instantie zal een onderzoek instellen, onder andere om na te gaan of Viamedis en Almerys aan hun verplichtingen volgens de GPDR hebben voldaan, en de gevoelige gegevens voldoende beschermd hebben.
De aanval kwam eerder deze maand al aan het licht. Viamedis had als reactie zijn platform al afgesloten. Volgens dat bedrijf konden de criminelen de data buitmaken, doordat ze een zorgverlener om de tuin leidden via phishing. Dat toont nog maar eens aan dat impactvolle aanvallen zelden het resultaat zijn van vakkundig uitgebuitte zeroday-lekken: een veel belangrijkere vector zijn werknemers zelf, die via phishing inloggegevens delen.
Voer voor meer phishing
Het enorme hack kan burgers nog lang achtervolgen, zei het onrechtstreeks. De gestolen gegevens zijn nu in handen van de digitale onderwereld, waar ze zullen circuleren. Andere criminelen kunnen de data gebruiken om zelf phishingcampagnes op te stellen die heel gericht en geloofwaardig lijken.
Het hack toont bovendien aan hoe data toch steeds kwetsbaar blijven, ook als ze vergaard worden in het kader van een overheidsopdracht. Dat kan bedrijven en overheden aanzetten om goed na te denken over welke gegevens ze opslagen en waarom.