Le prétendu créateur des chatbots a déclaré à un chercheur en sécurité, qui a alerté l'agence Reuters, que les données privées de millions de personnes étaient à vendre et que des échantillons pouvaient être consultés en demandant aux chatbots de les divulguer.
Star Health and Allied Insurance, dont la capitalisation boursière dépasse les 4 milliards de dollars, a déclaré à Reuters avoir signalé aux autorités locales l'accès non autorisé présumé à des données. L'entreprise a déclaré qu'une première évaluation n'avait pas révélé de compromission généralisée et que les données sensibles des clients restaient sécurisées.
En utilisant les chatbots, Reuters a pu télécharger des documents relatifs aux polices d'assurance et aux demandes de remboursement contenant des noms, des numéros de téléphone, des adresses, des données fiscales, des copies de cartes d'identité, des résultats de tests et des diagnostics médicaux.
La possibilité pour les utilisateurs de créer des chatbots est largement reconnue comme ayant aidé Telegram, basée à Dubaï, à devenir l'une des plus grandes applications de messagerie au monde, avec 900 millions d'utilisateurs mensuels actifs.
Toutefois, l'arrestation en France, le mois dernier, de son fondateur d'origine russe, Pavel Durov, a renforcé l'attention portée à la modération du contenu de Telegram et aux fonctionnalités susceptibles d'être utilisées de manière abusive à des fins criminelles. M. Durov et Telegram ont nié avoir commis des actes répréhensibles et s'efforcent de répondre aux critiques.
L'utilisation de chatbots Telegram pour vendre des données volées démontre la difficulté de l'application à empêcher des agents malveillants de tirer parti de sa technologie et met en évidence les défis auxquels les entreprises indiennes sont confrontées pour assurer la sécurité de leurs données.
Les chatbots de Star Health comportent un message de bienvenue indiquant qu'ils sont "by xenZen" et sont opérationnels depuis au moins le 6 août, a déclaré Jason Parker, chercheur en sécurité basé au Royaume-Uni.
Jason Parker a déclaré s'être fait passer pour un acheteur potentiel sur un forum de pirates en ligne où un utilisateur sous le pseudonyme de xenZen a déclaré avoir créé les chatbots et posséder 7,24 téraoctets de données relatives à plus de 31 millions de clients de Star Health. Les données sont gratuites via le chatbot, de manière aléatoire et fragmentaire, mais elles sont à vendre en masse.
Reuters n'a pas pu vérifier de manière indépendante les affirmations de xenZen ni déterminer comment le créateur du chatbot a obtenu les données. Dans un courriel adressé à Reuters, xenZen a déclaré être en pourparlers avec des acheteurs, sans révéler qui ou pourquoi ils étaient intéressés.
TAKEN DOWN
En testant les robots, Reuters a téléchargé plus de 1 500 fichiers, dont certains documents datés de juillet 2024.
"Si ce robot est supprimé, faites attention, un autre sera disponible dans quelques heures", indique le message de bienvenue.
Les chatbots ont ensuite été marqués "SCAM", avec un stock d'avertissement indiquant que des utilisateurs les avaient signalés comme suspects. Le 16 septembre, Reuters a communiqué à Telegram des informations sur les chatbots. Dans les 24 heures qui ont suivi, le porte-parole Remi Vaughn a déclaré qu'ils avaient été "supprimés" et a demandé à être informé si d'autres apparaissaient.
"Le partage d'informations privées sur Telegram est expressément interdit et est supprimé dès qu'il est découvert. Les modérateurs utilisent une combinaison de surveillance proactive, d'outils d'intelligence artificielle et de rapports d'utilisateurs pour supprimer des millions de contenus nuisibles chaque jour."
De nouveaux chatbots sont depuis apparus, proposant des données de Star Health.
Star Health a déclaré qu'une personne non identifiée l'avait contacté le 13 août en prétendant avoir accès à certaines de ses données. L'assureur a signalé l'affaire au service de lutte contre la cybercriminalité de son État d'origine, le Tamil Nadu, et à l'agence fédérale de cybersécurité CERT-In.
"L'acquisition et la diffusion non autorisées des données des clients sont illégales, et nous travaillons activement avec les forces de l'ordre pour lutter contre cette activité criminelle. Star Health assure ses clients et ses partenaires que la protection de leur vie privée est d'une importance capitale pour nous", a déclaré l'entreprise dans son communiqué.
Dans une déclaration boursière datée du 14 août, Star Health, le plus grand acteur indien parmi les fournisseurs autonomes d'assurance maladie, a déclaré qu'il enquêtait sur une violation présumée de "quelques données relatives à des demandes de remboursement".
Les représentants du CERT-In et du département de lutte contre la cybercriminalité du Tamil Nadu n'ont pas répondu aux demandes de commentaires envoyées par courriel.
UNAWARE
Telegram permet à des particuliers ou à des organisations de stocker et de partager de grandes quantités de données derrière des comptes anonymes. Il leur permet également de créer des chatbots personnalisables qui fournissent automatiquement du contenu et des fonctionnalités en fonction des demandes des utilisateurs.
Deux chatbots distribuent les données de Star Health. L'un d'eux propose des documents de demande de remboursement au format PDF. L'autre permet aux utilisateurs de demander jusqu'à 20 échantillons à partir de 31,2 millions d'ensembles de données en un seul clic, en donnant des détails tels que le numéro de police, le nom et même l'indice de masse corporelle.
Parmi les documents divulgués à Reuters figurent des dossiers relatifs au traitement de la fille d'un an de l'assuré Sandeep TS dans un hôpital de l'État du Kerala, dans le sud du pays. Les dossiers comprenaient le diagnostic, les résultats des tests sanguins, les antécédents médicaux et une facture de près de 15 000 roupies (179 $).
"Cela me semble inquiétant. Savez-vous comment cela peut m'affecter ?" a déclaré Sandeep, confirmant l'authenticité des documents. Il a ajouté que Star Health ne l'avait pas informé d'une quelconque fuite de données.
L'année dernière, le chatbot a également divulgué une demande de remboursement de l'assuré Pankaj Subhash Malhotra, qui comprenait des résultats de tests d'imagerie par ultrasons, des détails sur la maladie et des copies du compte fiscal fédéral et de la carte d'identité nationale. Il a également confirmé que les documents étaient authentiques et a déclaré qu'il n'avait pas été informé d'une quelconque violation de la sécurité.
Les chatbots de Star Health s'inscrivent dans une tendance plus large de pirates informatiques utilisant de telles méthodes pour vendre des données volées. Sur les cinq millions de personnes dont les données ont été vendues via des chatbots, l'Inde représentait le plus grand nombre de victimes, soit 12 %, selon la dernière enquête sur l'épidémie menée par NordVPN à la fin de l'année 2022.
"Le fait que des données sensibles soient disponibles via Telegram est naturel, car Telegram est une vitrine facile à utiliser", a déclaré Adrianus Warmenhoven, expert en cybersécurité chez NordVPN. "Telegram est devenu une méthode d'interaction plus facile à utiliser pour les criminels".
