Les violations de données sont devenues un risque quotidien dans notre ère numérique. À peine un jour ne passe sans qu'une entreprise annonce une brèche ayant exposé des informations sensibles. Depuis 2018 et l'entrée en vigueur du RGPD en Europe, les organisations doivent signaler ces incidents dans les 72 heures. Pour vous aider à y voir plus clair, voici un aperçu des 5 violations les plus marquantes de cette année.
Utilisateurs impactés : 150 millions
Données compromises : Noms d'utilisateur, adresses e-mail et mots de passe hachés
L'application MyFitnessPal, acquise par Under Armour pour suivre régimes et exercices, a été victime d'une attaque en mars 2018. Les données de 150 millions d'utilisateurs ont été exposées. L'entreprise a réagi promptement en alertant les usagers par e-mail et en publiant un site FAQ, recommandant un changement immédiat de mots de passe et des améliorations sécuritaires.
Cependant, si certains mots de passe étaient protégés par bcrypt (un algorithme robuste), d'autres utilisaient SHA-1, jugé faible. Aucune mise à jour ultérieure n'a précisé la cause ou les mesures préventives adoptées.
Utilisateurs impactés : Nombre inconnu
Données compromises : Données personnelles et financières des clients
En septembre 2018, British Airways a signalé un vol de données sur son site de réservation entre le 21 août et le 5 septembre. Les informations volées incluaient noms, adresses e-mail, adresses de facturation et détails de cartes bancaires. La compagnie a promis aucune perte directe pour les victimes, bien que la définition reste vague. L'attaque est attribuée au groupe Magecart, via un script malveillant, similaire à celle contre Ticketmaster.
Un an plus tôt, une panne informatique massive avait déjà paralysé ses opérations.
Utilisateurs impactés : Nombre inconnu
Données compromises : Réponses aux enquêtes, incluant des données personnelles identifiables
Typeform, plateforme populaire pour les sondages en ligne, a subi un accès non autorisé à une sauvegarde du 3 mai 2018 en juin. Ses clients entreprises (Fortnum & Mason, John Lewis, Bakers Delight, Airtasker, Revolut, etc.) ont été alertés pour informer leurs utilisateurs. Les détails restent limités.
Utilisateurs impactés : 340 millions
Données compromises : Profils détaillés (plus de 400 variables : habitudes, intérêts, religion, etc.), sans SSN ni données de carte
En juin 2018, le chercheur Vinny Troia a découvert via Shodan une base de données Exactis exposée publiquement, contenant 340 millions de profils. Ce courtier en données marketing avait collecté ces informations sans consentement clair, alimentant les critiques sur le "capitalisme de surveillance". Aucune preuve d'accès malveillant n'existe à ce jour, mais le risque d'ingénierie sociale est élevé.
Utilisateurs impactés : 21 millions
Données compromises : Noms, e-mails, dates de naissance, genre, indicatifs pays et numéros de téléphone
Timehop, app ravivant les souvenirs réseaux sociaux, a stoppé une intrusion en juillet 2018 après deux heures. L'attaquant a accédé aux clés OAuth2 mais pas aux publications privées. L'entreprise a collaboré avec les plateformes sociales pour révoquer les accès et communiqué de manière transparente via un tableau détaillé des impacts.
Les services numériques autrefois jugés sécurisés révèlent des failles dues à des pratiques laxistes. Vérifiez si vos comptes ont été compromis via des outils dédiés. Les entreprises portent la responsabilité première, mais adoptez une hygiène cyber renforcée : mots de passe uniques, gestionnaires sécurisés et vigilance accrue. Des alternatives aux mots de passe émergent pour un avenir plus sûr.
Crédit image : stevanovicigor/DepositPhotos
[]