Une entreprise basée en Floride fait face à de multiples propositions de recours collectifs, après une violation massive de données qui, selon une poursuite, a divulgué près de trois milliards de fichiers contenant des données personnelles sur des personnes au Canada, aux États-Unis et au Royaume-Uni, y compris des noms et des adresses de domicile.
L’une des premières plaintes à avoir été portée à l’attention du public est une action collective déposée le 1er août par Christopher Hofmann, un résident de Californie, devant le tribunal fédéral du district sud de la Floride. Elle accuse un groupe de hackers appelé USDoD d’avoir publié le 8 avril une base de données intitulée « National Public Data » sur un forum du dark web, affirmant détenir les données personnelles de 2,9 milliards de personnes, et d’avoir tenté de la vendre pour 3,5 millions de dollars américains.
Le site technologique Bleeping Computer a rapporté qu’un pirate informatique a ensuite divulgué une version des données volées gratuitement sur un forum de piratage le 6 août.
Au moins six plaintes ont été déposées contre la société National Public Data ce mois-ci.
Les données proviennent d’une entreprise qui effectue des vérifications d’antécédents
Les données auraient été volées à Jerico Pictures Inc., qui fait des affaires sous le nom de National Public Data, une société basée en Floride qui effectue des vérifications d’antécédents.
Hofmann affirme dans sa plainte que l’entreprise a obtenu et stocké ses données sans son consentement. Étant donné que les personnes ne communiquent pas sciemment leurs données à l’entreprise, il est difficile pour quiconque de savoir s’il a été affecté par la violation.
La plainte affirme que la société « n’a toujours pas fourni d’avis ou d’avertissement » à Hofmann ou à d’autres personnes affectées par la violation.
« En fait, sur la base des informations et des convictions, la grande majorité des membres du groupe n’étaient pas conscients que leurs informations personnelles sensibles avaient été compromises et qu’ils étaient, et continuent d’être, exposés à un risque important de vol d’identité et à diverses autres formes de préjudice personnel, social et financier », peut-on lire.
Richard Rogerson, fondateur de la société de cybersécurité Packetlabs, affirme que l’ampleur présumée de la violation est « assez effrayante » et qu’elle permettra aux fraudeurs de réaliser beaucoup plus facilement des escroqueries en utilisant des identités volées.
« Je n’ai jamais vu une faille de cette ampleur », a déclaré Rogerson. « C’est un territoire inexploré. »
National Public Data a confirmé la violation mardi dans une déclaration sur son site Internet, qui semblait inaccessible vendredi.
Le communiqué indique que l’incident « aurait impliqué un tiers malveillant » qui a tenté de pirater des données fin décembre 2023, « avec des fuites potentielles de certaines données » en avril 2024 et à l’été 2024. Les informations que l’entreprise soupçonne d’avoir été violées contiennent des noms, des adresses e-mail, des numéros de téléphone, des numéros de sécurité sociale et des adresses postales.
Le site Internet de National Public Data indique que ses services « sont actuellement utilisés par des enquêteurs privés, des sites de données publiques sur les consommateurs, des ressources humaines, des agences de recrutement et bien d’autres ». L’entreprise n’a pas répondu à une demande de commentaire.
On ne sait pas exactement comment la violation s’est produite
Certains États exigent que les entreprises signalent les violations de données à leurs bureaux de procureur général, mais la société de sécurité McAfee a déclaré n’avoir trouvé aucun dossier auprès des procureurs généraux des États.
Le bureau du procureur général de Floride n’a pas été informé de la violation, a-t-il déclaré à CBC dans un courriel.
La plainte indique qu’il n’est pas clair exactement quand et comment la violation s’est produite.
« Ces données continueront de nous hanter pendant un certain temps, car une grande partie de ces données sont très statiques et ne changeront pas avec le temps », a déclaré Rogerson.
« Si vous considérez les contrôles de sécurité comme une clôture, cela abaisse la clôture d’une clôture de 10 pieds à une clôture de 2 pieds. Vous pouvez marcher par-dessus cette clôture. Cela facilite grandement les attaques (fraudes). »
Hofmann affirme dans sa plainte que son service de protection contre le vol d’identité l’a alerté en juillet que ses informations personnelles avaient été compromises en conséquence directe de la violation des données publiques nationales et avaient été retrouvées sur le dark web.
Le cabinet d’avocats Schubert Jonckheer & Kolbe, qui a annoncé lundi qu’il enquêtait sur cette violation, a écrit dans un blog sur son site Web que les données remontaient à au moins trois décennies.
Cliff Steinhauer, directeur de la sécurité de l’information et de l’engagement à la National Cybersecurity Alliance, une organisation à but non lucratif qui promeut la sécurité en ligne, affirme que même si ce type de données a déjà été divulgué, la différence est qu’elles sont désormais toutes au même endroit.
« Je pense que cela peut surprendre beaucoup de gens que ces entreprises existent et soient autorisées à collecter et stocker ces données – et pire encore, elles ne sont pas tenues de répondre à certains critères de sécurité pour le faire », a-t-il déclaré.
Steinhauer affirme que les près de trois milliards de fichiers contenus dans le fichier de 277 gigaoctets semblent inclure des dossiers incomplets, des doublons et des dossiers de personnes aujourd’hui décédées, ce qui explique pourquoi ce nombre est considérablement supérieur à la population du Canada, des États-Unis et du Royaume-Uni réunis.
On ne sait pas encore si et dans quelle mesure l’entreprise a pu être négligente dans la protection de ses données, mais Steinhauer se demande pourquoi elle a stocké autant d’informations personnelles pendant si longtemps.
« Je veux dire, ont-ils vraiment besoin de conserver toutes ces données sur des personnes décédées il y a si longtemps ? » a-t-il demandé.
Steinhauer dit que les gens peuvent se lasser de lire que leurs données ont été violées et peuvent se sentir impuissants dans des situations comme celle-ci, mais il est important de savoir qu’il y a des choses que les gens peuvent faire pour se protéger.
Il affirme que tout le monde devrait supposer que ses informations ont été compromises et propose plusieurs suggestions pour protéger votre argent et vos informations personnelles.
- Maintenez votre logiciel de sécurité à jour sur vos appareils.
- Créez des mots de passe complexes et comportant au moins 16 caractères.
- Utilisez un gestionnaire de mots de passe pour enregistrer ces mots de passe et en générer de nouveaux.
- Utilisez un service de surveillance qui vous alertera si vos informations personnelles ont été trouvées sur le dark web.
- Activez l’authentification multifacteur pour ajouter une couche de protection contre les fraudeurs.
- Utilisez un service pour configurer la surveillance de vos rapports de crédit, afin de « vous assurer qu’il n’y a aucun compte sur votre rapport de crédit que vous ne reconnaissez pas ».
- Soyez vigilant face au phishing et autres escroqueries, qui ont tendance à proliférer lorsque des nouvelles d’une violation de données importante éclatent.
