De : beatrice.berard@chu-lyon.fr <beatrice.berard@chu-lyon.fr>
Envoyé : mercredi 12 février 2025 11:58
À : CHAVANNE JEAN SYLVAIN <jean-sylvain.chavanne@chu-brest.fr>
Cc : bureau@listes.rssi-sante.fr
Objet : TR: [Club RSSI] - Re: Un attaquant a partagé une base de données liées au domaine hospitalis.org sur BreachForums | Criticité : Élevée

C2 - Restreint

		Béatrice BERARD Officier de Sécurité des Systèmes d’Information (OSSI) des HCL OSSI du GHT Val Rhône Centre Direction des Services Numériques (DSN) Tél. 04 72 11 50 49 (31 50 49) beatrice.berard@chu-lyon.fr		Hospices Civils de Lyon DSII, Bâtiment A, 2ème étage 162 Avenue Lacassagne 69003 LYON www.chu-lyon.fr

 

Bonjour,

 

Sommes-nous sûrs de la qualité des données et de la fuite de données.
En OSINT, je n’ai pas trouvé d’infos.

J’ai contacté Hospitalis pour avoir leur avis.

Dans tous les cas, j’ai trouvé des utilisateurs d’un des CH de mon GHT mais leurs mots de passe ne sont pas bons.

 

 

 

Bonjour,

 

à l’attention de mes collègues RSSI et pour ceux qui ne sont pas au courant :

 

Description

Un utilisateur nommé Angel_Batista a publié le 11 février 2025 une base contenant des informations liées à Hospit@lis utilisé pour la gestion des médicaments et approvisionnements dans les établissements de santé  à l'adresse suivante :

• hxxps://breachforums[.]st/Thread-DATABASE-FREE-hospitalis-org-13k.

Cette publication contient des informations de 13 406 utilisateurs parmi lesquelles :

• Leurs login et mots de passe;
• Leurs ID;
• Leurs noms et prénoms;
• Leurs adresses email
• Les postes et services occupés;
• Le numéro ordinal de pharmacien si concerné;
• Le numéro de leurs cartes CPS;

L'attaquant a transmis l'entièreté des données gratuitement dans un fichier intitulé mFaMCQUjFMYEFaFxMaCF.csv disponible à l'adresse suivante :

• hxxps://fileditchfiles[.]me/file[.]php?f=/s21/mFaMCQUjFMYEFaFxMaCF[.]csv

Le cybercriminel ne donne aucune information sur l'origine de ces données, il nous est donc impossible de savoir quel a pu être le vecteur de compromission initial.

Étant donné que le logiciel Hospitalis est utilisé par de nombreux établissements de santé, cette publication est d'intérêt.

ACTIONS

• CERT informé
• Base Hospitalis Down
• ANSSI informé

Détails de l'alerte

L'utilisateur Angel_batista est actif sur le forum cybercriminel BreachForum depuis 2023 et dispose d'un score de réputation plutôt élevé.

Publication sur BreachForum

Extrait des données comprises dans cette publication

 

Bon courage.

 

Bien cordialement,

 

Walid MIDOUNI Responsable de la Sécurité des Systèmes d’Information   Courriel : rssi@ghtcantal.fr Téléphone : 04.71.46.46.92 Mobile : 06.08.63.29.18 Téléphone interne : 32007   Centre Hospitalier Henri Mondor AURILLAC, GHT15

 

 

 

 

 

« Votre santé au cœur de notre projet. »
Retrouvez toute l’information sur le site internet des Hôpitaux du Léman : https://www.hopitauxduleman.fr/

Ce message et ses pièces jointes peuvent contenir des informations confidentielles ou privilégiées et ne doivent donc pas être diffusées, exploitées ou copiées sans autorisation. Si vous avez reçu ce message par erreur, veuillez le signaler à l'expéditeur et le détruire ainsi que les pièces jointes. Les messages électroniques étant susceptibles d'altération, les Hôpitaux du Léman déclinent toute responsabilité si ce message a été altéré, déformé ou falsifié. Merci.