PITTSBURGH - Une enquête majeure sur la cible 11 touche environ 70 000 personnes à travers la Pennsylvanie.
L'enquêteur Rick Earle a découvert que la santé et d'autres informations personnelles de dizaines de milliers de Pennsylvaniens qui ont été collectées lors de la recherche des contacts ont été compromises.
De multiples enquêtes sont actuellement en cours par le département de la santé de Pennsylvanie et l'entreprise embauchée pour collecter les informations et les données.
Ces enquêtes ont commencé après qu'Earle ait pu consulter des informations personnelles et informer le département de la santé de l'État de ce qu'il avait découvert.
Les habitants de la région de Pittsburgh directement touchés
«Le traceur a pu vous joindre? Voici votre numéro. Est-ce votre cellule? Demanda Earle.
«Oui», a répondu Lisa Chapman, de New Kensington, après que nous lui ayons montré l'entrée sur la feuille de calcul à côté de son nom.
Nous avons retrouvé une autre femme qui figurait sur la liste.
"Est-ce vous? Ils vous ont parlé? Demanda Earle.
«Ouais», a déclaré Zari Price de Washington, Pennsylvanie.
"Le contact signale actuellement une mise en quarantaine pendant 28 jours car il s'agit d'une exposition domestique", a lu Earle.
«Nous avions l’impression que c’était le département de la santé, et personne ne verra cela à part le département de la santé. Je suis choqué », a déclaré Chapman.
«Je suis très en colère d'avoir, comme.. cette information est juste là-bas. Je suis également très dérangé, car qui d’autre a accès à ces informations? » dit Price.
Comment cela s'est passé
Insight Global, une société de recrutement basée à Atlanta, en Géorgie, a reçu un contrat de 23 millions de dollars pour embaucher 1000 traceurs de contacts dans le but de contrôler la propagation du COVID-19.
Mais certains anciens employés disent à Target 11 que l'entreprise n'a pas réussi à sécuriser les informations recueillies auprès de ses contacts. Et les anciens travailleurs disent qu'ils en ont parlé aux superviseurs, mais rien n'a été fait pour protéger les informations.
La cible 11 a reçu des liens vers des feuilles de calcul contenant des noms, ainsi que des informations de santé et personnelles collectées auprès de contacts entre septembre 2020 et mars 2021.
Earle a facilement pu cliquer sur les liens et ils ont révélé les informations sans utiliser de connexion ou de mot de passe.
Nous ne divulguons aucun des noms, mais voici quelques-unes des informations personnelles contenues dans les feuilles de calcul.
«Sa femme était positive. Elle aurait dû être isolée. On dirait qu’aucun des deux ne suit le protocole. »
«Quatre enfants à la maison… en plein soutien émotionnel et diagnostic de TDAH.»
«Elle prend des médicaments psychotropes pour la dépression. Elle dit qu'elle est suicidaire.
1-855-535-1787 La hotline sans frais sera en ligne vendredi après-midi pour les contacts qui soupçonnent que leurs informations peuvent avoir été compromises. Une surveillance gratuite du crédit et une protection de l’identité seront également proposées. #wpxi
/li>
Target 11 travaille pour obtenir des réponses
Earle a rapporté ses découvertes au représentant Jason Ortitay, de Bridgeville.
«Je regarde à travers. Je ne peux pas croire au niveau de détail ici. Je pense que c’est absolument ridicule. Juste pour commencer, et comme ma première pensée est restée là à penser, une : comment pouvons-nous laisser tout cela arriver? Je veux dire, nous sommes censés être, vous savez, de bons gestionnaires de l’information de nos électeurs, en particulier au niveau du gouvernement de l’État. Les gens nous font confiance avec ce truc », a déclaré Ortitay.
Earle a également contacté le département de la santé de Pennsylvanie et leur a dit ce que nous avions découvert.
«Le ministère de la Santé prend la sûreté et la sécurité des renseignements personnels extrêmement au sérieux. Nous apprécions que vous portiez cela à notre attention, et dès que vous l'avez fait, notre première priorité a été d'isoler et de protéger les informations qui étaient là-bas et dont vous nous avez alertés », a déclaré le porte-parole du département de la santé, Barry Ciccocioppo.
Les liens contenant les informations personnelles ont été fermés le lendemain du jour où Earle a contacté le département de la santé de l'État.
«Nous avons des informations d'un lanceur d'alerte indiquant que l'entreprise avec laquelle vous avez conclu un contrat n'a pas pris les précautions nécessaires pour sécuriser ces données», a déclaré Earle au porte-parole du département de la santé de l'État.
"Eh bien, en fait, il semble que les documents qui ont été partagés avec WPXI ont été créés en dehors, entièrement en dehors du processus normal de traitement sécurisé des données du Commonwealth", a déclaré Ciccocioppo.
Réponse de l'entreprise à l'objectif 11
Insight Global a publié la déclaration suivante à Target 11 :
«Nous regrettons que les informations collectées par nos employés lors de la recherche des contacts COVID-19 aient pu être rendues accessibles à des personnes autres que les employés autorisés et les responsables de la santé publique. Notre première priorité a été de sécuriser et d'empêcher tout accès ultérieur ou toute divulgation d'informations. Alors qu'une enquête active est en cours par les principaux spécialistes de la sécurité informatique tiers, nous avons également une équipe qui travaille pour déterminer quelles informations sont ou restent à risque. À l'heure actuelle, nous pensons que les informations se composent de noms d'individus qui peuvent avoir été exposés au COVID-19 et d'une gamme d'informations conçues pour aider à gérer la propagation du virus et identifier et répondre à tout besoin de services de soutien social spécifiques. Nous comprenons les préoccupations que l'accès potentiel à de telles informations peut soulever, et nous travaillons de toute urgence et en étroite collaboration avec le ministère de la Santé publique de Pennsylvanie pour informer les personnes dont les informations peuvent avoir été affectées. "
Statut du contrat
Après que la nouvelle est tombée et que Target 11 a contacté le ministère de la Santé, les responsables ont déclaré qu'ils ne renouvelaient pas leur contrat avec Insight Global. Ils ont déclaré que les employés de l'entreprise «avaient créé des documents non autorisés en dehors des systèmes de données sécurisés» et qu'ils étaient «extrêmement consternés» de ce qui s'était passé. Voici une déclaration du département:
«Le ministère de la Santé a récemment appris que certains employés d'Insight Global - un fournisseur engagé par le DOH en 2020 pour fournir un suivi des contacts et d'autres services similaires - ignoraient les protocoles de sécurité établis dans le contrat et créaient des documents non autorisés en dehors des systèmes de données sécurisés créés par la République. Ces documents existaient séparément des données officielles que les employés d'Insight Global collectaient et fournissaient au DOH au sein de plates-formes de données sécurisées. Aucun actif ou système informatique du Commonwealth, y compris l'application COVID Alert PA, n'a été impliqué ou compromis.
«Le ministère de la Santé prend la sûreté et la sécurité des renseignements personnels des individus très au sérieux. Nous sommes extrêmement consternés que les employés d'Insight Global aient agi d'une manière qui aurait pu compromettre ce type d'informations et nous nous excusons sincèrement auprès de toutes les personnes concernées. Immédiatement après avoir pris connaissance, le Département a pris des mesures rapides pour demander à Insight Global de sécuriser correctement les documents. Insight Global a engagé des spécialistes informatiques tiers et a immédiatement lancé une enquête médico-légale pour identifier toutes les personnes susceptibles d'être touchées.
«Alors que l'enquête médico-légale est en cours, les documents ne contenaient pas d'informations sur les comptes financiers, d'adresses ou de numéros de sécurité sociale. Nous savons que certains des documents contenaient au moins 72000 noms d'individus et certains des noms sont associés à des informations supplémentaires telles que les numéros de téléphone et les adresses e-mail ainsi que des informations personnelles telles que le sexe, l'âge, l'orientation sexuelle et le diagnostic COVID et état d'exposition.
«À la suite de cet incident, le ministère de la Santé a informé Insight Global qu'il ne renouvellerait pas le contrat à l'expiration du 31 juillet 2021. Le ministère évalue comment intégrer de manière appropriée les ressources pour répondre aux besoins de santé publique des Pennsylvaniens.
«Le Département demande à Insight Global d'aviser toutes les personnes concernées. De plus, une ligne directe sans frais - 1-855-535-1787 - ouvrira le vendredi 30 avril pour toute personne qui craint que ses informations aient pu être soumises à cet incident de sécurité. La hotline sera disponible du lundi au vendredi, de 9 h 00 à 21 h 00. Bien qu'aucune information financière n'ait été incluse, des services de surveillance du crédit et de protection de l'identité seront offerts gratuitement à toute personne touchée par cet incident. »
Un expert en cybersécurité parle de données compromises
«Mon évaluation initiale a montré que tous les liens que vous avez fournis étaient en ligne et accessibles au public sans pouvoir ou avoir à se connecter, et présentant tout type d'authentification à un public largement disponible», a déclaré Todd Hollis, qui a également découvert certains des mêmes documents en effectuant une recherche sur Google.
"Ils sont accessibles et détectables par une recherche Google assez astucieuse", a déclaré Hollis.
Alors que le contrat initial avec Insight Global était de 23 millions de dollars, Target 11 a appris à partir de documents obtenus par l'intermédiaire du trésorier de l'État que la société a maintenant été payée 29 millions de dollars depuis septembre dernier.
Et ce sont tous de l'argent des contribuables.
«Il est très troublant que rien de tout cela ne soit protégé et qu’ils aient autant d’argent pour effectuer cette recherche des contacts. Et, comme je l'ai dit, l'argent des contribuables. C’est notre argent qui sert à cela et ce n’est pas protégé », a déclaré Price.
Ortitay demande une enquête fédérale et une audience au siège de l'État.
«Nous devons lancer une enquête immédiate de la part de l'État, et je pense que nous devons également impliquer le gouvernement fédéral dans ce domaine. Ils ont certainement besoin d'être impliqués dans tout type d'enquête. Nous devrions les appeler. Nous devrions appeler le ministère de la Santé immédiatement pour une audition, leur demander d’expliquer ce qui se passe. L'entrepreneur devrait être là-dedans, et je veux savoir ce qu'ils font et ce qu'ils ont mal fait », a déclaré Ortitay.
