Les violations de données peuvent être extrêmement préjudiciable aux organisations de toutes formes et tailles – mais c’est la façon dont ces entreprises réagissent à l’incident qui peut porter le coup final. Bien que nous ayons vu d’excellents exemples de la façon dont les entreprises devraient répondre aux violations de données au cours de l’année écoulée – félicitations à la Croix-Rouge et à Amnesty pour leur transparence – 2022 a été une leçon d’un an sur la façon de ne pas répondre à une violation de données.
Retour sur les violations de données mal gérées de cette année.
Nvidia
Le géant des fabricants de puces Nvidia a confirmé qu’il enquêtait sur un soi-disant « incident cybernétique » en février, qui a ensuite confirmé qu’il s’agissait d’un événement d’extorsion de données. L’entreprise a refusé de dire grand-chose d’autre sur l’incident et, sous la pression de TechCrunch, a refusé de dire comment il avait été compromis, quelles données avaient été volées ou combien de clients ou d’employés avaient été touchés.
Alors que Nvidia est resté discret, le désormais célèbre gang Lapsus $ a rapidement pris la responsabilité de la violation et a affirmé avoir volé un téraoctet d’informations, y compris des données « hautement confidentielles » et un code source propriétaire. Selon le site Web de surveillance des violations de données Have I Been Pwned, les pirates ont volé les informations d’identification de plus de 71 000 employés de Nvidia, y compris les adresses e-mail et les hachages de mots de passe Windows.
DoorDash
En août, DoorDash a approché TechCrunch avec une offre de signaler exclusivement une violation de données qui a exposé les données personnelles des clients de DoorDash. Non seulement il est inhabituel de se voir offrir des nouvelles d’une violation non divulguée avant qu’elle ne soit annoncée, mais il était encore plus étrange que l’entreprise refuse de répondre à presque toutes les questions sur les nouvelles qu’elle voulait que nous annoncions.
Le géant de la livraison de nourriture a confirmé à TechCrunch que les attaquants avaient accédé aux noms, adresses e-mail, adresses de livraison et numéros de téléphone des clients DoorDash, ainsi qu’à des informations partielles sur les cartes de paiement pour un plus petit sous-ensemble d’utilisateurs. Il a également confirmé que pour les chauffeurs-livreurs DoorDash, ou Dashers, les pirates ont accédé à des données qui « incluaient principalement le nom et le numéro de téléphone ou l’adresse e-mail ».
Mais DoorDash a refusé de dire à TechCrunch combien d’utilisateurs ont été touchés par l’incident – ou même combien d’utilisateurs il a actuellement. DoorDash a également déclaré que la violation avait été causée par un fournisseur tiers, mais a refusé de nommer le fournisseur à la demande de TechCrunch, et n’a pas non plus précisé quand il a découvert qu’il avait été compromis.
Samsung
Quelques heures avant les longues vacances du 4 juillet, Samsung a discrètement laissé tomber l’avise que ses systèmes américains avaient été piratés des semaines plus tôt et que des pirates avaient volé les informations personnelles des clientsn. Dans son avis de violation sommaire, Samsung a confirmé que des données «démographiques» non spécifiées, qui comprenaient probablement des données de géolocalisation précises des clients, la navigation et d’autres données sur les appareils des téléphones Samsung et des téléviseurs intelligents des clients, ont également été prises.
À la fin de l’année, Samsung n’a toujours rien dit de plus sur son piratage. Au lieu d’utiliser le temps pour rédiger un article de blog indiquant quels clients ou même combien de clients sont concernés, Samsung a utilisé les semaines précédant sa divulgation pour rédiger et publier une nouvelle politique de confidentialité obligatoire le jour même de sa divulgation.epermettant à Samsung d’utiliser la géolocalisation précise des clients pour la publicité et le marketing.
Parce que c’était la priorité de Samsung, évidemment.
Révolution
La start-up Fintech Revolut a confirmé en septembre avoir été touchée par une « cyberattaque hautement ciblée » et a déclaré à TechCrunch à l’époque qu’un « tiers non autorisé » avait obtenu l’accès aux détails d’un petit pourcentage (0,16%) de clients « pour une courte durée ». période de temps. »
Cependant, Revolut ne dirait pas exactement combien de clients ont été touchés. Son site Web indique que la société compte environ 20 millions de clients; 0,16 % se traduirait par environ 32 000 clients. Cependant, selon la divulgation de la violation de Revolut, la société indique que 50 150 clients ont été touchés par la violation, dont 20 687 clients dans l’Espace économique européen et 379 citoyens lituaniens.
La société a également refusé de dire quels types de données ont été consultées. Dans un message envoyé aux clients concernés, la société a déclaré qu ‘«aucun détail de carte, code PIN ou mot de passe n’a été consulté». Cependant, la divulgation de violation de données de Revolut indique que les pirates ont probablement accédé à des données partielles de paiement par carte, ainsi qu’aux noms, adresses, adresses e-mail et numéros de téléphone des clients.
Fournisseur NHS Avancé
Advanced, un fournisseur de services informatiques pour le NHS britannique, a confirmé en octobre que des attaquants avaient volé des données de ses systèmes lors d’une attaque de ransomware en août. L’incident a détruit un certain nombre de services de l’organisation, y compris son système de gestion des patients Adastra, qui aide les gestionnaires d’appels non urgents à envoyer des ambulances et aide les médecins à accéder aux dossiers des patients, et Carenotes, qui est utilisé par les fiducies de santé mentale pour les informations sur les patients.
Alors qu’Advanced a partagé avec TechCrunch que ses intervenants en cas d’incident – Microsoft et Mandiant – avaient identifié LockBit 3.0 comme le logiciel malveillant utilisé dans l’attaque, la société a refusé de dire si les données des patients avaient été consultées. La société a admis que « certaines données » concernant plus d’une douzaine de fiducies du NHS avaient été « copiées et exfiltrées », mais a refusé de dire combien de patients étaient potentiellement touchés ou quels types de données avaient été volés.
Advanced a déclaré qu’il n’y avait « aucune preuve » suggérant que les données en question existent ailleurs hors de notre contrôle et « la probabilité de préjudice pour les individus est faible ». Lorsqu’il a été contacté par TechCrunch, le directeur de l’exploitation d’Advanced, Simon Short, a refusé de dire si les données des patients étaient affectées ou si Advanced avait les moyens techniques, tels que les journaux, pour détecter si des données avaient été exfiltrées.
Twilio
En octobre, le géant américain de la messagerie Twilio a confirmé avoir été touché par une deuxième brèche qui a vu des cybercriminels accéder aux coordonnées des clients. La nouvelle de la brèche, qui a été effectuée par les mêmes pirates « 0ktapus » qui ont compromis Twilio en août, a été enterrée dans une mise à jour d’un long rapport d’incident et contenait peu de détails sur la nature de la brèche et l’impact sur les clients.
La porte-parole de Twilio, Laurelle Remzi, a refusé de confirmer le nombre de clients touchés par la violation de juin ou de partager une copie de l’avis que la société prétend avoir envoyé aux personnes concernées. Remzi a également refusé de dire pourquoi Twilio a mis quatre mois pour divulguer publiquement l’incident.
Espace rack
Le géant du cloud computing d’entreprise Rackspace a été touché par une attaque de ransomware le 2 décembre, laissant des milliers de clients dans le monde entier sans accès à leurs données, y compris les e-mails archivés, les contacts et les éléments de calendrier. Rackspace a reçu de nombreuses critiques sur sa réponse pour avoir peu parlé de l’incident ou de ses efforts pour restaurer les données.
Dans l’une des premières mises à jour de la société, publiée le 6 décembre, Rackspace a déclaré qu’il n’avait pas encore déterminé « quelles, le cas échéant, les données étaient affectées », ajoutant que si des informations sensibles étaient affectées, il « en informerait les clients le cas échéant ». Nous sommes maintenant à la fin du mois de décembre et les clients ne savent pas si leurs informations sensibles ont été volées.
Dernier passage
Et enfin, mais ce n’est pas le moindre : le géant assiégé du gestionnaire de mots de passe LastPass a confirmé trois jours avant Noël que des pirates avaient volé les clés de son royaumem et les coffres-forts de mots de passe cryptés des clients exfiltrés des semaines plus tôt. La violation est à peu près aussi dommageable que possible pour les 33 millions de clients qui utilisent LastPass, dont les coffres-forts de mots de passe cryptés ne sont aussi sécurisés que les mots de passe principaux des clients utilisés pour les verrouiller.
Mais la gestion de la violation par LastPass a suscité une réprimande rapide et de vives critiques de la part de la communauté de la sécurité, notamment parce que LastPass a déclaré qu’il n’y avait aucune action à prendre par les clients.e. Pourtant, sur la base d’une lecture analysée de son avis de violation de donnéeseLastPass savait que les coffres-forts de mots de passe cryptés des clients auraient pu être volés dès novembre après que l’entreprise a confirmé que son stockage en nuage avait été accessible à l’aide d’un ensemble de clés de stockage en nuage d’employés volées lors d’une violation antérieure en août, mais que l’entreprise n’avait pas révoquées.
La faute et le blâme incombent entièrement à LastPass pour sa violation, mais sa gestion était extrêmement mauvaise. L’entreprise survivra-t-elle ? Peut-être. Mais dans sa gestion atroce de sa violation de données, LastPass a scellé sa réputation.