Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Illinois Department of Human Services data breach affects 700K people

1 minute de lecture

Mis à jour :

Exposition de données sensibles par le Département des Services Humains de l’Illinois

Le Département des Services Humains de l’Illinois (IDHS) a accidentellement rendu publiques les données personnelles et de santé de près de 700 000 résidents. Cette exposition est due à une mauvaise configuration des paramètres de confidentialité sur des cartes créées par l’agence, qui sont restées accessibles pendant plusieurs années.

Points Clés :

  • Nature de l’incident : Une mauvaise configuration des paramètres de confidentialité a rendu des cartes internes publiques sur un site de cartographie.
  • Durée de l’exposition : L’accès aux données a été possible pendant des années avant la découverte de l’incident.
  • Impact : Deux groupes de résidents sont affectés, avec des expositions de données allant d’avril 2021 à septembre 2025 et de janvier 2022 à septembre 2025.

Vulnérabilités :

  • Aucun numéro CVE n’est mentionné dans l’article pour décrire la vulnérabilité spécifique liée à la configuration des paramètres de confidentialité du site de cartographie. Le problème est attribué à une “mauvaise configuration des contrôles de confidentialité”.

Données Exposées :

  • Pour environ 672 616 bénéficiaires de programmes d’assistance Medicaid et Medicare : Adresses, numéros de dossier, détails démographiques, noms des plans d’aide médicale. Les noms des bénéficiaires n’étaient pas inclus.
  • Pour 32 401 clients de la Division des Services de Réadaptation : Noms, adresses, numéros de dossier, statut du dossier, sources de référence.

Recommandations et Actions de l’IDHS :

  • L’IDHS a restreint l’accès aux cartes aux employés autorisés.
  • Une revue de toutes les cartes exposées a été menée.
  • Les tentatives d’upload d’informations clients identifiables sur des plateformes de cartographie publiques sont désormais bloquées.
  • L’agence informe les personnes concernées et les autorités réglementaires compétentes.

Il est à noter que l’IDHS a également été victime d’une autre violation de données en décembre 2024 suite à une attaque de phishing qui a compromis des comptes d’employés, affectant les informations personnelles de plus d’un million de personnes.

Source

Vous pourriez aimer