Fuites de données et sanctions RGPD sur la rentrée 2019
La rentrée 2019 a été marquée par plusieurs fuites de données importantes et plusieurs sanctions.
Sanctions
Active assurance : sanction de 180 000 euros par la CNIL
la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour avoir insuffisamment protégé les données des utilisateurs de son site web. Les comptes des clients de la société étaient accessibles via des liens référencés sur les moteurs de recherche. Les documents et données des clients étaient également accessibles sans mot de passe. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite. Ce qui a généré la sanction: la société aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter ; le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robots.txt » par exemple ; la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus robustes et ne pas les transmettre en clair par courriel Source CNIL
La compagnie aérienne British Airways
British Airways a reçu une amende de 204 millions d'euros (soit 1,5 % de son CA) en conséquence des 500 000 victimes du vol de données bancaires et personnelles.
Groupe Mariott
10 millions d'euros qui ont été infligés au groupe Mariott suite à certaines négligences de leur part. Plus de 300 millions de données personnelles de clients ont été volées par des personnes non autorisées.
700 millions de dollars suite à la fuite de données sur Equifax
Suite à la fuite de données personnelles des clients d’Equifax, la société n'a pas échappé à la lourde amende de 700 millions de dollars.
Fuites de données
L'assureur Allianz
Un pirate s'est introduit dans les données des clients de l'assureur. 3 000 clients auraient été touchés. La collecte a permis de voler le nom et les produits financiers détenus par les clients. Dans certains cas, les numéros d’assurance sociale, les dates de naissance et les coordonnées bancaires.
La Gendarmerie Française
Un prestataire de la gendarmerie française a exposé les informations de 130.000 gendarmes.
Sephora: 3,7 millions de clients en vente sur le Dark Web
Nos confrères de la société Group-IB annonce avoir découvert des bases de données contenant les informations personnelles de 3,7 millions de clients de Sephora en vente sur le Dark Web. La fuite de données daterait de février 2019, Sephora rassure en précisant qu’aucune information de carte de crédit n’a été dérobée. Source
Yves Rocher provoque la fuite de données de 2,5 millions de clients
La raison est une erreur de leur prestataire. Le montant des transactions, la devise utilisée, la date et le point de livraison ont pu être consultés.
La Banque Capital One
La banque Capital One a été victime d’un vol de données. 106 millions de clients dans la nature.
MasterCard
84 000 clients allemands de MasterCard se sont fait voler leurs données personnelles et financières (les numéros de carte bancaire et des informations personnelles)
Garmin
Garmin perd les données financières de ses clients, dont les numéros de carte et code CVV.
Impots.gouv.fr
Les données de 2 000 contribuables français ont été volées et modifiées par un pirate.
Gouvernement Brésilien
Des documents concernent le pétrole, le nucléaire, la déforestation en accès libre sur le site du Ministère de l’environnement brésilien mais ne semblent en rien « sensibles ».
Gouvernement de l'Equateur
D'après deux experts de la société vpnMentor, quelques 20,8 millions d’enregistrements soit 18GB de données concernant: 17 millions d’habitants d’Equateur, ont été mis en accès libre sur un serveur non sécurisé situé à Miami (Floride) appartenant à une entreprise équatorienne. Les données font référence à l’état civil, information de contact, des informations sur l’emploi occupé, le salaire, les informations de comptes en banque, y-compris le solde des comptes, les crédits obtenus, le type de crédit accordé.
70% des citoyens bulgares
Bulgarian Citizens have suffered the biggest data breach in its history that compromised personal and financial information of 5 million adult citizens out of its total population of 7 million people.
La Banque Centrale Européenne (BCE)
Cette institution ferme un de ses sites à la suite d’un piratage. Depuis 2018, une opération de phishing a été mis en place sur le site banks-integrated-reporting-dictionary.eu. Les malveillants tentent de collecter les identifiants de connexion (login et mot de passe)
Le portail canadien westendjobs.ca victime d'une fuite de données
Ce site web est spécialisé dans les offres d’emplois au Canada. Ces comprennent les adresses courriels, les identités et les mots de passe (non chiffrés)
Motoblouz
3200 comptes utilisateurs volés. La société confirme avoir subi des tentatives de connexions le 3 avril 2019, exploitant des mails et mots de passe dérobés auparavant sur d’autres plateformes que Motoblouz.
Private Sport Shop
Le pirate annonce une vente de plus de près de 100.000 données clients. Il en espère les revendre pour 388 000€.
La Becanerie
+1400 clients volés
Plusieurs sites français
- DLH 4 millions utilisateurs
- 1001 auto-entrepreneurs: +88 000 utilisateurs
- Appart à louer: 5000 utilisateurs),
- Le Football Club de Clermont: 1400 utilisateurs
- C3M: 1300 utilisateurs)
- Mediaffiliation: +2500 utilisateurs
- Option Way accès ouvert aux données de réservations de 1500 clients
120 établissements de santé en France
120 établissements de santé en France ont été la cible d'une campagne ciblée ayant pour conséquence de paralyser leurs systèmes d'information. aucun document sensible n'aurait été dérobée.
L’école informatique Epitech
De multiples fichiers ont été diffusés sur le deep web et le DarkWet. Fichiers Excel avec des adresses mails, identités, liste newsletter, partenaires entreprises, listing taxe d’apprentissage, 25 000 fiches étudiants ! L’intégralité de leur vie numérique est présentée : nom, prénom, mail (école), ville, date de naissance, téléphone, site web.
Hostinger
L'hébergeur a demandé à 14 millions de clients à changer de mot de passe au motif d’une infiltration pirate.
Les données de centaines de millions de comptes Facebook en accès libre sur Internet. Cause: une base de données mal protégée. De plus Facebook a écopé d'une amende de 5 millions de dollards concernant le scandale Cambrigde analytica. Source
StockX
L’entreprise a été piratée. 6,8 millions d’enregistrements volés en mai 2019.
Source que l'on remercie chaleureusement