Samsung a admis que des pirates informatiques avaient accédé aux données personnelles de clients basés au Royaume-Uni lors d’une violation de ses systèmes qui a duré un an.
Dans une déclaration à TechCrunch, la porte-parole de Samsung, Chelsea Simpson, représentant la société via une agence tierce, a déclaré que Samsung avait été « récemment alerté d’un incident de sécurité » qui « a entraîné l’obtention illégale de certaines informations de contact de certains clients de la boutique en ligne Samsung au Royaume-Uni ». .»
Samsung a refusé de répondre à d’autres questions sur l’incident, telles que le nombre de clients concernés ou la manière dont les pirates ont accédé à ses systèmes internes.
Dans une lettre envoyée aux clients concernés, Samsung a admis que les attaquants avaient exploité une vulnérabilité dans une application commerciale tierce anonyme pour accéder aux informations personnelles des clients ayant effectué des achats dans le magasin Samsung UK entre le 1er juillet 2019 et le 30 juin 2020.
Dans la lettre, qui a été partagé sur X (anciennement Twitter), Samsung a déclaré n’avoir découvert la compromission que plus de trois ans plus tard, le 13 novembre 2023.
Samsung a déclaré aux clients concernés que des pirates informatiques pourraient avoir accédé à leurs noms, numéros de téléphone, adresses postales et adresses e-mail. « Aucune donnée financière, telle que les coordonnées bancaires ou de carte de crédit ou les mots de passe des clients, n’a été affectée », a déclaré le porte-parole de Samsung à TechCrunch, ajoutant que la société avait signalé le problème au Bureau du commissaire à l’information (ICO) du Royaume-Uni.
La porte-parole de l’ICO, Adele Burns, a confirmé à TechCrunch que le régulateur britannique de la protection des données est au courant de l’incident et « mènera une enquête ».
Cet incident est la troisième violation de données révélée par Samsung au cours des deux dernières années.
En septembre 2022, la société a confirmé dans un bref communiqué que des attaquants avaient accédé à certaines informations de certains systèmes américains de Samsung, mais a refusé de préciser combien de clients étaient concernés. Avant cela, en mars 2022, Samsung avait confirmé avoir subi une violation après que les pirates de Lapsus$ ont affirmé avoir obtenu et divulgué près de 200 gigaoctets de données confidentielles des systèmes de l’entreprise, y compris le code source de diverses technologies et algorithmes pour les opérations de déverrouillage biométrique.