Deux mois après que des pirates informatiques se soient introduits dans les systèmes de Change Healthcare en volant puis en cryptant les données de l'entreprise, il n'est toujours pas clair combien d'Américains ont été touchés par l'attaque informatique.
Le mois dernier, Andrew Witty, le PDG de la société mère de Change Healthcare, UnitedHealth Group, a déclaré que les fichiers volés incluent les informations personnelles de «une proportion substantielle de personnes en Amérique».
Mercredi, lors d'une audience à la Chambre, pressé de donner une réponse plus définitive, Witty a témoigné que la violation a affecté «je pense, peut-être un tiers [des Américains] ou quelque part à ce niveau».
Witty a déclaré qu'il hésitait à donner une réponse plus précise car l'entreprise enquête toujours sur la violation et tente de déterminer exactement combien de personnes ont été touchées.
Le porte-parole d'UnitedHealth, Anthony Marusic, n'a pas répondu immédiatement à une demande de commentaire sur l'estimation de Witty.
Lors d'une audience au Sénat plus tôt mercredi, Witty a déclaré qu'il faudrait probablement «plusieurs mois» avant que l'entreprise puisse commencer à informer les victimes de la violation de données.
Dans une déclaration écrite déposée par Witty avant les deux audiences, le PDG a écrit que «jusqu'à présent, nous n'avons pas vu de preuves d'exfiltration de matériels tels que les dossiers des médecins ou les historiques médicaux complets parmi les données».
Conformément au témoignage de Witty, les pirates informatiques ont «utilisé des identifiants compromis pour accéder à distance à un portail Citrix de Change Healthcare», qui n'était pas protégé par une authentification à facteurs multiples, une mesure de cybersécurité de base qui ajoute une étape supplémentaire pour se connecter à des comptes et des systèmes.
Si ce portail avait activé l'authentification à facteurs multiples, la violation n'aurait peut-être pas eu lieu. Plusieurs sénateurs ont interrogé Witty sur cet échec, lui demandant si les systèmes d'UnitedHealth et de Change Healthcare sont désormais protégés par une authentification à facteurs multiples.
Lors de l'audience au Sénat, Witty a déclaré : «Nous avons une politique appliquée dans toute l'organisation pour avoir une authentification à facteurs multiples sur tous nos systèmes externes, ce qui est en place».
