Ce n’est pas une très bonne semaine pour les entreprises britanniques n’est-ce pas ? D’abord, il y a eu TalkTalk, puis British Gas et maintenant nous voici avec Marks & Spencer.
Qu’ont-elles en commun ? Elles ont toutes fait fuir des données d’une manière ou d’une autre. Dans le cas de TalkTalk, il s’agissait définitivement d’une brèche, peut-être initiée par un jeune Irlandais de 15 ans. Avec British Gas, la cause n’est pas aussi clairement déterminée, il peut s’agir d’un piratage ou d’une collection de données acquises via une campagne d’hameçonnage de longue date.
M&S, la cause semble être interne
Après que les clients aient commencé à se plaindre qu’ils pouvaient voir les détails des autres lorsqu’ils se connectaient à leurs comptes, la firme a temporairement suspendu son site web, bien qu’il soit désormais de retour en ligne. Sur la page Facebook de l’entreprise, des clients avaient informé le détaillant qu’ils pouvaient non seulement voir les commandes des autres clients, mais aussi leurs détails de paiement. Le problème semblait lié aux clients qui s’inscrivaient au nouveau club de membres et au système de carte de Marks & Spencer appelé » Sparks « . Un client, Konstantinos Vlassis, a déclaré : » Intéressant, je viens de créer un compte M&S pour enregistrer ma nouvelle carte Sparks et tout à coup, je suis connecté au compte de quelqu’un d’autre ! M&S, cela constitue une violation de la vie privée et de la sécurité des données. Je peux voir les adresses personnelles, les commandes passées et les infos d’un autre titulaire de compte et je suppose qu’il peut voir les miennes ? Je peux vous envoyer par message des captures d’écran si vous voulez, mais ce n’est pas une bonne sécurité ! » D’autres fans de l’entreprise sur Facebook ont apporté leur contribution avec des commentaires similaires, ce qui a incité les administrateurs à mettre le site web de M&S hors service pendant environ deux heures. Après une rapide enquête, Marks & Spencer a déclaré que la fuite de données était due à une erreur interne plutôt qu’à une attaque, confirmant qu’aucune donnée financière n’avait été prise. Il a toutefois également confirmé que des informations personnelles, notamment des noms, des adresses, des dates de naissance, des contacts et des commandes antérieures avaient été exposées pendant un certain temps. Un porte-parole de l’entreprise a déclaré que le problème avait affecté environ huit cents de ses clients et s’est excusé pour le désagrément, ajoutant qu’il écrirait à toutes les personnes concernées pour leur assurer que leurs détails financiers restaient sécurisés. Commentant la dernière de plusieurs brèches très médiatisées touchant des entreprises britanniques, Tim Erlin, directeur de la sécurité et de la gestion des produits chez Tripwire a déclaré : » Les pirates ne sont pas la seule cause des violations de données. Des erreurs dans le code d’un site web peuvent accidentellement divulguer des données clients, sous forme de détails individuels ou en vrac. La perte d’appareils physiques, comme les ordinateurs portables, peut également entraîner une violation de données. Les sites web qui acceptent, traitent et utilisent les données des clients restent des cibles pour les attaquants. Même lorsque les données sont cryptées en coulisse, si le site web peut accéder à ces données et les afficher, alors il existe une voie pour tenter un accès malveillant. Les organisations doivent adopter une approche multicouche de la sécurité. Il n’y a pas de solution unique qui protège les données sensibles. La sécurité doit tout englober, des configurations renforcées des serveurs Web aux bases de données cryptées, en passant par la formation de sensibilisation des employés. L’attention accrue portée aux violations de données dans les médias a sensibilisé les clients aux enjeux. Le consommateur moyen est simplement plus conscient de ses propres données sensibles de nos jours. » Etes-vous conscient des violations de données ? Faites-vous attention aux sites auxquels vous faites confiance pour vos données ? Avez-vous vérifié si vos informations personnelles ont déjà été compromises ?