L’année dernière, nous avons compilé une liste des violations de données les plus mal gérées en 2022, revenant sur le mauvais comportement des géants de l’entreprise face aux piratages et aux violations. Cela allait de la minimisation de l’impact réel des fuites d’informations personnelles à l’incapacité de répondre à des questions de base.
Il s’avère que cette année, de nombreuses organisations continuent de commettre les mêmes erreurs. Voici le dossier de cette année sur la manière de ne pas répondre aux incidents de sécurité.
La Commission électorale a caché les détails d’un énorme piratage pendant un an, mais reste discrète
La Commission électorale, l’organisme de surveillance chargé de superviser les élections au Royaume-Uni, a confirmé en août avoir été la cible d’« acteurs hostiles » qui ont accédé aux données personnelles, notamment les noms complets, les adresses e-mail, les adresses personnelles, les numéros de téléphone et toute image personnelle. envoyé à la Commission – sur pas moins de 40 millions d’électeurs britanniques.
Même s’il peut sembler que la Commission électorale a été franche au sujet de la cyberattaque et de son impact, l’incident s’est produit en août 2021 – il y a environ deux ans – lorsque des pirates informatiques ont accédé pour la première fois aux systèmes de la Commission. Il a fallu encore un an à la Commission pour prendre les pirates informatiques sur le fait. La BBC a rapporté le mois suivant que l’organisme de surveillance avait échoué à un test de cybersécurité de base à peu près au même moment où les pirates informatiques entraient dans l’organisation. Il n’a pas encore été révélé qui a commis l’intrusion – ni si cela est connu – ni comment la Commission a été violée.
Samsung ne dira pas combien de clients sont touchés par une violation de données qui dure depuis un an
Samsung figure une fois de plus sur notre liste de violations mal gérées. Le géant de l’électronique a une fois de plus adopté son approche discrète habituelle lorsqu’il a été confronté à des questions sur une violation de ses systèmes qui a duré un an et qui a permis aux pirates informatiques d’accéder aux données personnelles de ses clients basés au Royaume-Uni. Dans une lettre envoyée aux clients concernés en mars, Samsung a admis que les attaquants avaient exploité une vulnérabilité dans une application commerciale tierce anonyme pour accéder aux informations personnelles non spécifiées des clients qui ont effectué des achats dans son magasin britannique entre juillet 2019 et juin 2020.
Dans la lettre, Samsung a admis qu’il n’avait découvert la compromission que plus de trois ans plus tard, en novembre 2023. Interrogé par TechCrunch, le géant de la technologie a refusé de répondre à d’autres questions sur l’incident, telles que le nombre de clients touchés ou comment les pirates ont pu accéder à ses systèmes internes.
Les pirates ont volé les données de Shadow et Shadow est resté silencieux
Le fournisseur français de jeux en nuage Shadow est une entreprise qui porte bien son nom, car une violation survenue en octobre dans l’entreprise reste entourée de mystère. La violation a vu les attaquants mener une « attaque d’ingénierie sociale avancée » contre l’un des employés de Shadow qui a permis l’accès aux données privées des clients, selon un e-mail envoyé aux clients Shadow concernés.
Cependant, l’impact total de l’incident reste inconnu. TechCrunch a obtenu un échantillon de données qui auraient été volées à l’entreprise et qui contenaient 10 000 enregistrements uniques, dont des clés API privées correspondant aux comptes clients. Interrogée par TechCrunch, la société a refusé de commenter et n’a pas précisé si elle avait informé le régulateur français de la protection des données, la CNIL, de la violation, comme l’exige la législation européenne. La société n’a pas non plus rendu publique la nouvelle de la violation en dehors des e-mails envoyés aux clients concernés.
Lyca Mobile a refusé de dire quel type de cyberattaque a frappé
Lyca Mobile, l’opérateur de réseau mobile virtuel basé au Royaume-Uni, a déclaré en octobre qu’il avait été la cible d’une cyberattaque qui a provoqué des perturbations généralisées pour des millions de ses clients. Lyca Mobile a par la suite admis une violation de données, dans laquelle des attaquants anonymes avaient accédé à « au moins certaines des informations personnelles contenues dans notre système » lors du piratage.
Cela fait désormais plus de deux mois et Lyca Mobile n’a toujours pas précisé quelles données ont été volées dans ses systèmes (malgré le stockage d’informations personnelles sensibles, telles que des copies de cartes d’identité et de données financières), ni combien de ses 16 millions de clients ont été concernés. par la brèche. Malgré les demandes répétées de TechCrunch, la société a également refusé de commenter la nature de l’incident, bien que l’incident se présente comme un ransomware.
MGM Resorts n’a toujours pas indiqué combien de clients se sont vu voler des données après un piratage
La brèche de MGM Resorts est l’une des plus mémorables de 2022 ; l’incident a vu des pirates informatiques associés à un gang connu sous le nom de Scattered Spider compromettre les systèmes de l’entreprise pour provoquer des semaines de perturbations dans les hôtels et casinos MGM de Las Vegas. MGM a déclaré que la perturbation coûterait à l’entreprise au moins 100 millions de dollars.
MGM a révélé pour la première fois qu’elle avait été ciblée par des pirates informatiques le 11 septembre. Mais ce n’est qu’en octobre que la société a confirmé dans un dossier réglementaire que les attaquants avaient obtenu certaines informations personnelles appartenant à des clients ayant effectué des transactions avec MGM Resorts avant mars 2019. Cela inclut les noms des clients, leurs coordonnées, leur sexe, leurs dates de naissance, leurs numéros de permis de conduire, leurs numéros de sécurité sociale et les scans de passeport de certains clients.
Cela fait maintenant plus de trois mois et nous ne savons toujours pas combien de clients MGM ont été concernés. Les porte-parole de MGM ont refusé à plusieurs reprises de répondre aux questions de TechCrunch sur l’incident.
Une violation de la parabole pourrait affecter des millions de personnes – potentiellement beaucoup plus
En février dernier, le géant de la télévision par satellite Dish a confirmé dans un dossier public qu’une attaque de ransomware était à l’origine d’une panne en cours et a averti que les pirates avaient exfiltré de ses systèmes des données pouvant contenir des informations personnelles de clients. Cependant, Dish n’a pas fourni de mise à jour substantielle depuis, et les clients ne savent toujours pas si leurs informations personnelles sont en danger.
TechCrunch a appris que, malgré le silence de l’entreprise, l’impact de la violation pourrait s’étendre bien au-delà des quelque 10 millions de clients de Dish. Un ancien détaillant Dish a déclaré à TechCrunch que Dish conserve une multitude d’informations sur ses clients sur ses serveurs, notamment les noms des clients, leurs dates de naissance, leurs adresses e-mail, leurs numéros de téléphone, leurs numéros de sécurité sociale et leurs informations de carte de crédit. La personne a déclaré que ces informations sont conservées indéfiniment, même pour les clients potentiels qui n’ont pas réussi la vérification de solvabilité initiale de Dish.
CommScope est en retard pour informer ses propres employés que leurs données ont été volées
TechCrunch a entendu des employés de CommScope dire qu’ils étaient restés dans l’ignorance d’une violation de données au sein de l’entreprise affectant leurs informations personnelles. L’entreprise basée en Caroline du Nord, qui conçoit et fabrique des produits d’infrastructure réseau pour une gamme de clients, a été ciblée par le gang de ransomwares Vice Society en avril. Les données divulguées par le gang et examinées par TechCrunch comprenaient les données personnelles de milliers d’employés de CommScope, notamment les noms complets, les adresses postales, les adresses e-mail, les numéros personnels, les numéros de sécurité sociale, les scans de passeport et les informations de compte bancaire.
CommScope a refusé de répondre à nos questions relatives aux fuites de données sur les employés, et n’a pas non plus répondu aux personnes concernées. Plusieurs employés ont déclaré à TechCrunch à l’époque que les dirigeants de CommScope restaient discrets sur la violation, affirmant qu’au-delà de cela, « il n’y avait aucune preuve » suggérant que les données des employés étaient impliquées.