Les violations de données peuvent être très dommageables pour les organisations de tous types et de toutes tailles, mais c'est la façon dont ces entreprises réagissent à l'incident qui peut porter le coup final. Bien que nous ayons vu d'excellents exemples de la manière dont les entreprises devraient réagir aux violations de données l'année dernière - félicitations à la Croix-Rouge et à Amnesty pour leur transparence - 2022 a été une année de leçons sur la façon de ne pas répondre à une violation de données.
Voici un retour sur les violations de données mal gérées de cette année.
Nvidia
Le géant de la fabrication de puces Nvidia a confirmé qu'il enquêtait sur un "incident cybernétique" présumé en février, qu'il a ensuite confirmé être une extorsion de données.
Alors que Nvidia était discret, le gang désormais notoire Lapsus $ a rapidement revendiqué la responsabilité de la fuite, affirmant avoir volé un téraoctet d'informations, y compris des données "hautement sensibles" et du code source propriétaire. Selon le site Web Have I Been Pwned, les pirates ont volé les informations d'identification de plus de 71.000 XNUMX employés de Nvidia, y compris les adresses e-mail et les mots de passe Windows.
DoorDash
Le géant de la livraison de nourriture a confirmé que les attaquants avaient accédé aux noms, adresses e-mail, adresses de livraison et numéros de téléphone des clients de DoorDash, ainsi que des informations partielles sur les cartes de paiement d'un petit sous-ensemble d'utilisateurs. Il a également confirmé que pour les chauffeurs-livreurs DoorDash, ou Dashers, les pirates ont accédé à des données qui "incluaient principalement le nom et le numéro de téléphone ou l'adresse e-mail".
Mais DoorDash a refusé de dire combien d'utilisateurs ont été touchés par l'incident – ni même combien d'utilisateurs il compte actuellement. DoorDash a également déclaré que la violation avait été causée par un fournisseur tiers.
Samsung
Quelques heures avant la grande fête du 4 juillet, Samsung a discrètement annoncé que ses systèmes américains avaient été piratés des semaines plus tôt et que des pirates avaient volé des informations personnelles à ses clients. Dans son avis laconique, Samsung a confirmé que des données "démographiques" non spécifiées avaient également été volées, qui comprenaient probablement des données précises de géolocalisation, de navigation et d'autres données provenant des téléphones Samsung et des téléviseurs intelligents des clients.
À la fin de l'année, Samsung n'a toujours rien dit de plus sur le piratage. Plutôt que d'utiliser le temps d'écrire un article de blog décrivant quels clients, voire combien, sont concernés, Samsung a utilisé les semaines précédant sa divulgation pour rédiger et publier une nouvelle politique de confidentialité obligatoire le jour même de sa publication. sa fuite, qui permet à Samsung d'utiliser la géolocalisation précise des clients pour la publicité et le marketing. Parce que c'était la priorité de Samsung, évidemment.
Revolut
La start-up fintech Revolut confirmó en septiembre que había sido víctima de un «ciberataque altamente selectivo», y dijo en ese momento que un «tercero no autorizado» había obtenido acceso a los datos de un pequeño porcentaje (0,16%) de clientes «durante un corto período temps".
Cependant, Revolut ne dirait pas exactement combien de clients ont été touchés. Son site Web indique que la société compte environ 20 millions de clients ; 0,16 % se traduirait par environ 32.000 50.150 clients. Cependant, selon la déclaration de Revolut sur la violation, la société affirme que 20.687 379 clients ont été touchés par la violation, dont XNUMX XNUMX clients de l'Espace économique européen et XNUMX citoyens lituaniens.
La société n'a pas non plus précisé quel type de données a été consulté. Dans un message envoyé aux clients concernés, la société a déclaré qu '"aucune donnée de carte, de code PIN ou de mot de passe n'a été consultée". Cependant, la divulgation de la violation de données de Revolut affirme que les pirates ont probablement accédé à des données partielles de paiement par carte, ainsi qu'aux noms, adresses, adresses e-mail et numéros de téléphone des clients.
