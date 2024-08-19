Les données de milliards de personnes ont été publiées sur le dark web aux alentours du 8 avril 2024, suite à une unique fuite de données publiques nationales. Cependant, de nombreuses victimes ne sont toujours pas conscientes de leur exposition car elles n'ont pas encore reçu de notification ou de déclaration de la part de l'entreprise.
Récemment, l'une des victimes a intenté un recours collectif après avoir appris que ses données avaient été compromises lorsqu'elle a reçu une notification d'un fournisseur de services de protection contre l'usurpation d'identité. Quelles seront les conséquences pour les personnes dont les données ont été vendues à leur insu sur le dark web ?
National Public Data, propriété de Jerico Pictures, Inc., collecte des données en tant qu'entreprise de vérification des antécédents basée en Floride. Les consommateurs figurant dans les bases de données de National Public Data n'ont pas donné leur consentement pour que leurs données soient transmises à l'entreprise.
Selon l’action en justice déposée par Christopher Hofmann, un groupe de cybercriminels appelé USDoD a publié une base de données contenant les données privées de 2,9 milliards de citoyens américains, y compris les noms complets, les numéros de sécurité sociale et les adresses sur le dark web. Les données incluaient également des informations sur les proches des individus. L'un des aspects uniques de ces données était leur longévité : les adresses couvraient plusieurs décennies de résidence, et certains proches étaient décédés depuis près de vingt ans.
Le groupe de pirates a fixé le prix d'achat de la base de données à 3,5 millions de dollars. VX-Underground, un site éducatif axé sur la cybersécurité, a confirmé que les informations contenues dans la base de données de 277,1 Go étaient réelles et exactes après avoir été informé par le groupe de son intention de divulguer la base de données. Parce que National Public Data n’est pas liée par les exigences CIRCIA pour les infrastructures essentielles, l’entreprise n’a pas été tenue de signaler la violation dans les 72 heures.
« Ces informations personnelles identifiables non chiffrées et non expurgées ont été compromises, publiées puis vendues sur le Dark Web, en raison des actes et omissions négligents et/ou imprudents du défendeur et de son incapacité totale à protéger les données sensibles des clients. Les pirates informatiques ont ciblé et obtenu les informations personnelles identifiables du plaignant et des membres du groupe en raison de leur valeur pour exploiter et usurper l'identité du plaignant et des membres du groupe. Le risque actuel et continu pour les victimes de la violation de données persistera tout au long de leur vie », indique la plainte.
En plus d’avoir omis d’informer les victimes, National Public Data n’a pas publié de déclaration publique concernant la violation. Le Los Angeles Times a rapporté que la société avait répondu aux demandes par e-mail en indiquant : « Nous avons connaissance de certaines allégations de tiers concernant les données des consommateurs et nous enquêtons sur ces questions. » Le procès mentionne l'absence de notification comme l'une des principales préoccupations du plaignant.
Dans le cadre de cette action en justice, M. Hofmann a demandé à National Public Data de prendre des mesures spécifiques, notamment d'accorder une compensation financière. Il a demandé à National Public Data de supprimer toutes les informations personnelles identifiables ayant fait l'objet d'une violation. En outre, il souhaite que l'entreprise chiffre toutes les données à l'avenir, utilise la segmentation des données, scanne ses bases de données et lance un programme de gestion des menaces. En outre, il souhaite qu'une évaluation du cadre de cybersécurité soit réalisée chaque année jusqu'en 2034.
Bien que les détails soient encore en cours d'évolution, cette violation semble être la plus importante, ou l'une des plus importantes, violations de données de tous les temps. Étant donné que la faille de 2013 chez Yahoo concernait 3 milliards de comptes et que la violation de données publiques nationales semble concerner 2,9 milliards de personnes, Yahoo pourrait encore détenir le record une fois que cette dernière violation aura été résolue. Les précédents deuxième et troisième places passeront respectivement en troisième et quatrième position après l'enregistrement de cette violation dans les registres. La violation de 2017 de River City Media concernait 1,37 milliard d'enregistrements, tandis que la violation de 2018 d'Aadhaar en comptait 1,1 milliard.
Alors que les experts anticipent la décision dans cette affaire, beaucoup se réfèrent aux événements passés à des fins de comparaison. Dans le cadre d'un procès similaire intenté à Yahoo, la juge de district américaine Lucy Koh a rejeté l'accord proposé par Yahoo en 2019, pour indemniser 200 millions de personnes concernées, représentant près d'un milliard de comptes. Elle a rejeté cet accord pour les raisons suivantes :
Les consommateurs sont invités à continuer de suivre l'évolution de la situation afin de déterminer si leurs données ont été compromises. Par mesure de précaution, il est recommandé de surveiller attentivement leurs rapports de solvabilité et leurs comptes bancaires et de ne pas répondre aux demandes d'informations ou d'accès à leur compte non sollicitées.
« Si cela correspond effectivement à la quasi-totalité des informations qui nous concernent, cela est certainement plus préoccupant que les violations précédentes », a déclaré Teresa Murray, directrice de la surveillance des consommateurs pour le groupe américain Public Information Research Group, au Los Angeles Times. « Et si les gens n'ont pas pris les précautions nécessaires par le passé, ce qu'ils auraient dû faire, cela devrait constituer un signal d'alarme pour eux. »
Pour découvrir comment IBM X-Force peut vous aider dans tous vos projets de cybersécurité, notamment la réponse aux incidents, le renseignement sur les menaces ou les services de sécurité offensive,prenez rendez-vous ici.
