AA expose les données personnelles de 117 000 clients

AA subit son deuxième incident de sécurité en deux mois. Après avoir troublé ses membres au sujet d’une violation de données apparemment non-existante en juin, l’entreprise fait maintenant face à un vrai problème puisqu’elle a exposé sa base de données de sauvegarde contenant les données personnelles de 117 000 clients.

Le rapport de Motherboard explique que les données exposées contiennent des noms complets, adresses IP, adresses résidentielles et informations d’achat – y compris les quatre derniers chiffres et date d’expiration des cartes de paiement des clients.

 

AA a camouflé la brèche

Le fiasco commence le 26 juin, lorsque les membres de AA reçoivent un email leur annonçant que leur mot de passe a été modifié. Craignant une fuite de données, les clients se tournent vers les réseaux sociaux pour plus d’informations. AA poste alors un tweet informant ses membres qu’ils « examinent cette situation de toute urgence ».

Quelques heures plus tard, post un nouveau message twitter : « l’email a été envoyé par notre équipe par erreur. Votre mot de passe n’a pas été modifié et vos données sont sécurisées. Toutes nos excuses pour cette confusion ».

Le même jour, Troy Hunt, chercheur dans le domaine de la sécurité a tweeté qu’un de leur followers avait « prévenu AA au sujet des 13GB de base de données de sauvegarde exposés » en Avril. Les personnes abonnées au site internet de Hunt « Have I been pwned » a confirmé la véracité de la faille ainsi que Motherboard, puisqu’ils ont reçu une copie des données exposées.

Dans un communiqué envoyé à Motherboard, AA déclare : « Nous confirmons que AA était informé d’une faiblesse potentielle impliquant des données de la boutique en ligne AA le 22 avril 2017. » Ils revendiquent que le problème a été résolu le 25 avril.

Cependant, étant donné les similitudes avec l’incident précédent et la réponse sournoise d’AA, il est normal de se demander si les deux incidents ne sont pas liés.

Indépendamment de cela, beaucoup d’experts sont inquiets du fait que AA ait camouflé la violation de données à plusieurs reprises sans en informer leurs clients. Dans un email envoyé à Motherboard, Hunt déclare :

Le point le plus exaspérant est lié au fait que AA savait qu’ils avaient laissé les données exposées, ils savaient que ces données avaient été localisées par au moins un tiers non-autorisé et ils savaient également que plus de 100 000 clients avaient été impactés. Malgré tout cela, ils ont décidé délibérément de ne pas en parler et de ne prévenir personne.

Après que Hunt ait posté des messages tweeter concernant son mécontentement à AA pour avoir caché la violation de données, l’entreprise a insisté sur le fait qu’aucune données de carte de paiement n’avaient été affectées. Lorsqu’on leur a demandé quels détails avaient été compromis, AA a répondu qu’ils avaient initié « une enquête exhaustive et indépendante », et qu’ils ne pouvaient donc fournir aucun détail. Cela a créé d’autant plus d’inquiétudes de la part des clients qui ne comprennent alors pas comment il est possible pour AA d’affirmer que les données de cartes de paiement n’ont pas été exposée alors même que l’enquête est encore en cours.

L’ICO – Bureau du Commissaire à l’Information mène sa propre enquête.

 

Quelles sont vos obligations dans le domaine de la protection des données

Il reste à établir qu’elle sera la décision de l’ICO quant à cette problématique mais cet incident montre qu’il est temps de tirer la sonnette d’alarme.  En effet, selon le Règlement Général Européen sur la Protection des Données (RGPD) qui entrera en vigueur l’année prochaine, les entreprises auront 72 heures à partir du moment de la découverte pour signaler une violation de données. Toute organisation qui ne respecte pas cette règle prend le risque de faire face à une amende allant jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires annuel – selon le montant le plus important.

Vous pouvez vous familiariser avec vos obligations en matière de protection des données en lisant notre livre RGPD UE – Guide de poche. Ce guide écrit par Alan Calder, fondateur et président exécutif d’IT Governance, est une source idéale d’informations pour toute personne souhaitant une introduction ainsi que des conseils sur le processus de conformité au RGPD.

En savoir plus sur le RGPD UE : Guide de poche >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.