Au cours des dernières années, TechCrunch a examiné certaines des pires violations de données et incidents de sécurité mal gérés dans l'espoir - peut-être! - que d'autres géants de l'entreprise en tireraient des leçons et éviteraient de commettre les mêmes calamités que l'année dernière. À la grande surprise de personne, nous voici encore cette année en train de répertorier une grande partie des mêmes mauvais comportements d'une toute nouvelle classe d'entreprises.
23andMe a blâmé les utilisateurs pour sa massive violation de données
L'année dernière, le géant des tests génétiques 23andMe a perdu les données génétiques et généalogiques de près de 7 millions de clients, grâce à une violation de données qui a vu des pirates forcer l'accès à des milliers de comptes pour extraire des données sur des millions d'autres. 23andMe a finalement déployé l'authentification multi-facteurs, une fonctionnalité de sécurité qui aurait pu empêcher les piratages de compte.
Quelques jours après le Nouvel An, 23andMe a commencé à rejeter la faute du vol massif de données sur les victimes, affirmant que ses utilisateurs n'avaient pas suffisamment sécurisé leurs comptes. Les avocats représentant le groupe de centaines d'utilisateurs de 23andMe qui ont poursuivi l'entreprise à la suite du piratage ont déclaré que les accusations étaient "non-sensées". Les autorités du Royaume-Uni et du Canada ont ensuite annoncé une enquête conjointe sur la violation de données de 23andMe l'année dernière.
23andMe a ensuite licencié 40% de son personnel plus tard dans l'année alors que l'entreprise en difficulté fait face à un avenir financier incertain - tout comme la vaste banque de données génétiques de ses clients.
Change Healthcare a pris des mois pour confirmer que des pirates ont volé la plupart des données de santé des Américains
Change Healthcare est une société de technologie médicale dont peu avaient entendu parler jusqu'en février dernier, lorsqu'une cyberattaque a forcé l'entreprise à fermer l'ensemble de son réseau, provoquant des pannes immédiates et généralisées à travers les États-Unis et paralysant une grande partie du système de santé américain. Change, propriété du géant de l'assurance santé UnitedHealth Group, gère la facturation et l'assurance pour des milliers de prestataires de soins de santé et de cabinets médicaux à travers les États-Unis, traitant entre un tiers et la moitié de toutes les transactions de santé aux États-Unis chaque année.
La gestion de la société du piratage - causé par une violation d'un compte utilisateur de base sans authentification multi-facteurs - a été critiquée par les Américains qui ne pouvaient pas obtenir leurs médicaments ou des séjours à l'hôpital approuvés, les fournisseurs de soins de santé affectés qui faisaient faillite à la suite de la cyberattaque, et les législateurs qui ont interrogé le PDG de l'entreprise sur le piratage lors d'une audience du Congrès en mai. Change Healthcare a payé aux pirates une rançon de 22 millions de dollars - ce que les autorités avaient depuis longtemps averti ne fait qu'aider les cybercriminels à tirer profit des cyberattaques - pour ensuite devoir verser une nouvelle rançon pour demander à un autre groupe de hackers de supprimer leurs données volées.
En fin de compte, il a fallu jusqu'en octobre - soit sept mois plus tard - pour révéler que plus de 100 millions de personnes avaient eu leurs informations de santé privées volées lors de la cyberattaque. Certes, cela a dû prendre un certain temps, car c'était - selon tous les comptes - la plus grande violation de données de santé de l'année, voire de tous les temps.
La violation de données de Synnovis a perturbé les services de santé du Royaume-Uni pendant des mois
Le NHS a subi des mois de perturbations cette année après que Synnovis, un fournisseur londonien de services de pathologie, a été touché par une attaque de ransomware en juin. L'attaque, revendiquée par le groupe de ransomware Qilin, a empêché les patients du sud-est de Londres d'obtenir des tests sanguins de leurs médecins pendant plus de trois mois, et a conduit à l'annulation de milliers de rendez-vous en consultation externe et de plus de 1 700 interventions chirurgicales.
À la lumière de l'attaque, que des experts disent aurait pu être évitée si l'authentification à deux facteurs avait été en place, Unite, premier syndicat du Royaume-Uni, a annoncé que le personnel de Synnovis fera grève pendant cinq jours en décembre. Unite a déclaré que l'incident a "un impact alarmant sur le personnel qui a été contraint de travailler des heures supplémentaires et sans accès aux systèmes informatiques essentiels pendant des mois tandis que l'attaque était en cours de traitement."
On ne sait toujours pas combien de patients ont été affectés par incident. Le groupe de ransomware Qilin prétend avoir divulgué 400 gigaoctets de données sensibles prétendument volées chez Synnovis, y compris les noms des patients, les numéros d'inscription au système de santé et les descriptions des tests sanguins.
Les hacks de clients de Snowflake se sont transformés en grandes violations de données
Le géant de l'informatique en nuage Snowflake s'est retrouvé cette année au centre d'une série de piratages massifs ciblant ses clients d'entreprise, comme AT&T, Ticketmaster et Santander Bank. Les pirates, qui ont ensuite été inculpés pour les intrusions, ont réussi à s'introduire en utilisant des identifiants de connexion volés par des logiciels malveillants trouvés sur les ordinateurs des employés d'entreprises qui dépendent de Snowflake. En raison du manque de mandat de sécurité multi-facteurs de Snowflake, les pirates ont pu s'introduire et voler de vastes banques de données stockées par des centaines de clients de Snowflake et détenir les données en rançon.
Snowflake, pour sa part, n'a pas beaucoup parlé des incidents à l'époque, mais a reconnu que les violations étaient causées par une "campagne ciblée dirigée contre les utilisateurs avec une authentification à facteur unique." Snowflake a ensuite déployé l'authentification multi-facteurs par défaut pour ses clients dans l'espoir d'éviter un incident similaire.
Columbus, Ohio a poursuivi un chercheur en sécurité pour avoir rapporté honnêtement une attaque de ransomware
Lorsque la ville de Columbus, Ohio a signalé une cyberattaque cet été, le maire de la ville, Andrew Ginther, s'est efforcé de rassurer les résidents préoccupés en indiquant que les données volées par la ville étaient "soit chiffrées, soit corrompues", et qu'elles étaient inutilisables par les pirates qui les avaient volées. Pendant ce temps, un chercheur en sécurité qui surveille les violations de données sur le web sombre pour son travail a trouvé des preuves que l'équipe de ransomware avait effectivement accès aux données des résidents - au moins un demi-million de personnes - y compris leurs numéros de sécurité sociale et leurs permis de conduire, ainsi que des antécédents d'arrestation, des informations sur des mineurs, et des survivants de violences domestiques. Le chercheur a alerté les journalistes sur le trésor de données.
La ville a obtenu avec succès une ordonnance contre le chercheur pour l'empêcher de partager les preuves qu'il avait trouvées sur la violation, une mesure perçue comme un effort de la ville pour faire taire le chercheur en sécurité plutôt que de remédier à la violation. La ville a par la suite abandonné son procès.
Salt Typhoon a piraté des fournisseurs de téléphonie et d'internet, grâce à une loi américaine sur les portes dérobées
Une loi sur les portes dérobées vieille de 30 ans est revenue cette année mordre après que des pirates, surnommés Salt Typhoon - l'un des plusieurs groupes de piratage soutenus par la Chine qui posent les bases numériques d'un possible conflit avec les États-Unis - aient été découverts dans les réseaux de certains des plus grands opérateurs téléphoniques et fournisseurs d'accès internet des États-Unis. Les pirates ont réussi à accéder aux appels en temps réel, aux messages et aux métadonnées des communications de politiciens de haut rang et de hauts fonctionnaires américains, y compris les candidats à la présidence.
Les pirates ont apparemment piraté certains des systèmes d'écoute des entreprises, que les opérateurs étaient tenus de mettre en place suite à l'adoption de la loi, appelée CALEA, en 1994. Désormais, grâce à l'accès continu à ces systèmes - et aux données que les opérateurs de télécommunications stockent sur les Américains - le gouvernement américain conseille aux citoyens américains et aux dirigeants américains d'utiliser des applications de messagerie chiffrées de bout en bout afin que personne, pas même les pirates chinois, ne puisse accéder à leurs communications privées.
Moneygram n'a toujours pas dit combien de personnes ont eu leurs données de transaction volées lors d'une violation de données
MoneyGram, le géant américain du transfert d'argent avec plus de 50 millions de clients, a été attaqué par des pirates en septembre. La société a confirmé l'incident plus d'une semaine plus tard après que les clients aient subi des jours de pannes inexpliquées, ne divulguant qu'un "problème de cybersécurité" non spécifié. MoneyGram n'a pas dit si des données client avaient été prises, mais l'organisme de protection des données du Royaume-Uni a déclaré à TechCrunch fin septembre qu'il avait reçu un rapport de violation de données de la société basée aux États-Unis, indiquant que des données clients avaient été volées.
Quelques semaines plus tard, MoneyGram a admis que les pirates avaient volé des données clients lors de l'attaque informatique, y compris des numéros de sécurité sociale et des documents d'identité gouvernementaux, ainsi que des informations de transaction, telles que les dates et les montants de chaque transaction. La société a admis que les pirates avaient également volé des informations d'enquête criminelle sur "un nombre limité" de clients. MoneyGram n'a toujours pas dit combien de clients ont eu leurs données volées, ni combien de clients il avait directement informés.
Hot Topic reste silencieuse après la fuite en ligne de 57 millions de dossiers de clients
Avec 57 millions de clients affectés, la violation d'octobre du géant américain de la vente au détail Hot Topic est l'une des plus importantes violations de données de vente au détail jamais enregistrées. Cependant, malgré l'ampleur massive de l'attaque, Hot Topic n'a pas confirmé publiquement l'incident, ni a-t-elle alerté les clients ou les bureaux des procureurs généraux des États de la violation de données. Le détaillant a également ignoré les multiples demandes de commentaires de TechCrunch.
Le site de notification de violation Have I Been Pwned, qui a obtenu une copie des données volées, a alerté près de 57 millions de clients concernés que les données volées comprenaient leurs adresses e-mail, leurs adresses physiques, leurs numéros de téléphone, leurs achats, leur sexe et leur date de naissance. Les données incluaient également des données partielles de cartes de crédit, y compris le type de carte de crédit, la date d'expiration et les quatre derniers chiffres du numéro de carte.
