Le site Web de M&S est temporairement suspendu après la fuite des informations sur les clients
La semaine n’a pas été très bonne pour les entreprises britanniques, n’est-ce pas ?
D’abord, il y a eu TalkTalk, puis il y a eu Gaz britannique , et maintenant nous avons Marks & Spencer.
Qu’ont-ils tous en commun ?
Ils ont tous divulgué des données d’une manière ou d’une autre.
Dans le cas de TalkTalk, il s’agissait sans aucun doute d’une brèche, peut-être initiée par un jeune Irlandais de 15 ans. Dans le cas de British Gas, la cause n’est pas si claire : il s’agit peut-être d’un piratage, ou le dump publié sur Pastebin pourrait être une collection de données acquises via une campagne de phishing de longue durée.
Quant à M&S, la cause semble être interne.
Après que les clients ont commencé à se plaindre de pouvoir voir les informations les uns des autres lorsqu'ils se connectaient à leurs comptes, l'entreprise a temporairement suspendu son site Web, bien qu'il soit désormais de nouveau en ligne.
Prendre à l'entreprise la page Facebook , les clients avaient informé le détaillant qu’ils pouvaient non seulement voir les commandes des autres clients, mais également leurs détails de paiement. Le problème semblait être lié au fait que les clients s'inscrivaient au nouveau produit de Marks & Spencer. club de membres et système de cartes appelé «Étincelles».
Un client, Konstantinos Vlassis, a déclaré :
« Intéressant, je viens de créer un compte M&S pour enregistrer ma nouvelle carte Sparks et d'un coup je me retrouve connecté au compte de quelqu'un d'autre !
M&S constitue une violation de la vie privée et de la sécurité des données. Je peux voir les adresses personnelles, les commandes passées et les informations d'un autre titulaire de compte et je suppose qu'il peut voir les miennes ? Je peux vous envoyer des captures d'écran si vous le souhaitez, mais ce n'est pas une bonne sécurité !
D'autres fans de l'entreprise sur Facebook ont fait des commentaires similaires, incitant les administrateurs à fermer le site Web de M&S pendant environ deux heures.
Après une enquête rapide, Marks & Spencer a déclaré que la fuite de données était due à une erreur interne plutôt qu'à une attaque, confirmant qu'aucune donnée financière n'avait été récupérée. Cependant, il a également confirmé que des informations personnelles, notamment les noms, adresses, dates de naissance, contacts et commandes antérieures, avaient été exposées pendant un certain temps.
Un porte-parole de la société a déclaré que le problème avait affecté environ 800 de ses clients et s'est excusé pour la gêne occasionnée, ajoutant qu'elle écrirait à toutes les personnes concernées pour leur assurer que leurs informations financières restaient sécurisées.
Commentant la dernière d'une série de violations très médiatisées affectant des entreprises britanniques, Tim Erlin, directeur de la sécurité et de la gestion des produits chez Fil-piège dit:
« Les pirates ne sont pas la seule cause des violations de données. Les erreurs dans le code du site Web peuvent accidentellement divulguer les données des clients, soit sous forme de détails individuels, soit en masse. La perte d’appareils physiques, comme les ordinateurs portables, peut également entraîner une violation de données.
Les sites Web qui acceptent, traitent et utilisent les données des clients restent des cibles pour les attaquants. Même lorsque les données sont cryptées en coulisses, si le site Web peut accéder à ces données et les afficher, il existe alors un moyen de tenter un accès malveillant.
Les organisations doivent adopter une approche à plusieurs niveaux en matière de sécurité. Il n’existe pas de solution unique pour protéger les données sensibles. La sécurité doit couvrir tout, depuis les configurations renforcées des serveurs Web jusqu'aux bases de données chiffrées, en passant par la formation de sensibilisation des employés.
L’attention accrue portée aux violations de données dans les médias a sensibilisé les clients aux problèmes impliqués. De nos jours, le consommateur moyen est tout simplement plus conscient de ses propres données sensibles.
Dans quelle mesure êtes-vous au courant des violations de données ? Faites-vous attention aux sites auxquels vous confiez vos données ?
Et avez-vous vérifié si vos informations personnelles ont déjà été compromises chez Troy Hunt ? Ai-je été pwned site?