Une société canadienne de tests en laboratoire a décidé de payer les pirates pour les empêcher de divulguer les informations personnelles des clients, y compris les résultats de leurs tests de laboratoire.
Mardi, LifeLabs, basée à Toronto, a révélé la violation, qui a touché 15 millions de clients.
Les noms, adresses physiques, identifiants de connexion, dates de naissance et numéros de carte de santé ont été pillés lors du piratage.
De plus, un petit sous-ensemble de 85 000 clients basés en Ontario a également vu les résultats de ses tests de laboratoire exposés aux pirates.
Ces clients ont subi un test médical chez LifeLabs en 2016 ou avant.
De toute évidence, le piratage est une mauvaise nouvelle pour les utilisateurs concernés de l'entreprise.
Mais LifeLabs prétend également avoir la violation sous contrôle.
C'est parce qu'il a payé les pirates pour récupérer les données volées.
"Nous avons récupéré les données en effectuant un paiement.
Nous l'avons fait en collaboration avec des experts expérimentés dans les cyberattaques et dans les négociations avec les cybercriminels", a déclaré LifeLabs dans une FAQ sur la violation.
Les entreprises de sécurité engagées par LifeLabs surveillent Internet et le Dark Web pour détecter tout signe de données volées.
Jusqu'à présent, ils n'en ont trouvé aucun, a déclaré le PDG de LifeLabs, Charles Brown, dans un communiqué.
"Je tiens à souligner qu'à l'heure actuelle, nos sociétés de cybersécurité ont indiqué que le risque pour nos clients lié à cette cyberattaque est faible", a-t-il ajouté.
Pourtant, les pirates sont connus pour mentir, et il est tout à fait possible que les coupables impliqués aient fait une copie des données volées pour les garder pour eux-mêmes.
Les victimes concernées doivent donc être sur leurs gardes.
Entre de mauvaises mains, les informations volées pourraient être exploitées pour commettre un vol d'identité ou une extorsion, en particulier lorsqu'il s'agit de résultats de tests de laboratoire sensibles.
Jusqu'à présent, LifeLabs s'est abstenu d'entrer dans les détails du piratage et de savoir si un ransomware était impliqué.
Mais la société a déclaré avoir identifié l'intrusion à la fin du mois d'octobre.
En réponse, l'entreprise a embauché des experts externes en cybersécurité pour enquêter sur l'ampleur de la violation.
Recommandé par nos rédacteurs
Le montant que LifeLabs a payé aux pirates n'a pas été dit.
Cependant, la société a corrigé le trou que les pirates avaient utilisé pour pénétrer dans ses systèmes.
Il a également introduit de nouvelles garanties pour protéger les données des clients.
Tout client préoccupé par cet incident peut bénéficier d'un an de protection gratuite qui comprend la surveillance du Dark Web et une assurance contre le vol d'identité, a ajouté le PDG de LifeLabs.