La brèche massive de NPD expose 3 milliards de données personnelles
Imaginez que vous receviez une notification vous informant que vos informations personnelles ont été compromises. C’est la réalité déconcertante pour de nombreuses personnes après qu’une violation massive de données soit remontée jusqu’à National Public Data (NPD), une société spécialisée dans les vérifications d’antécédents.
Cette violation a été rendue publique lorsqu’un résident californien s’est soudainement rendu compte que ses informations personnelles avaient été compromises. Cette personne a été choquée et a exprimé de sérieuses inquiétudes quant à la manière dont ses données cruciales étaient gérées.
Près de 3 milliards d’enregistrements ont été exposés, chacun contenant des informations sensibles telles que des noms, des adresses postales, des adresses électroniques, des numéros de sécurité sociale et même des informations financières. Comme ces données fournissent aux cybercriminels tout ce dont ils ont besoin pour commettre des vols d’identité à grande échelle, le danger posé par la violation des données devient tout à fait évident.
Risques liés aux systèmes de stockage de données
La violation de NPD est une sonnette d’alarme choquante sur les graves lacunes dans la façon dont de nombreuses organisations gèrent le stockage des données et les protections de sécurité. Il est choquant de constater qu’il existe encore aujourd’hui de nombreuses organisations qui ne disposent même pas des contrôles de sécurité les plus rudimentaires ! Des entreprises comme NPD accumulent d’énormes quantités d’informations personnelles, souvent avec peu de contrôle et de responsabilité. Cet incident est un rappel frappant des risques liés à de telles approches d’agrégation de données et des menaces potentielles qu’elles font peser sur notre confidentialité et notre sécurité. Il est temps d’examiner comment nos informations personnelles sont traitées de manière approfondie !
« C’est une sonnette d’alarme pour les individus et les organisations »,
a déclaré Eric Siron, expert en cybersécurité, dans l’épisode 62 du Security Swarm Podcast de Hornetsecurity. Cet épisode comprenait une grande partie consacrée à la violation de données de la NPD et, en écoutant des experts en cybersécurité comme Eric, nous pouvons conclure qu’il s’agit d’un moment charnière qui requiert toute notre attention et notre action en tant que communauté de la sécurité.
Tout au long du podcast, Eric a également souligné que
« l’ampleur même de cette violation est stupéfiante, ce qui met en évidence le besoin urgent de normes solides en matière de sécurité des données et d’une meilleure transparence sur la manière dont nos informations personnelles sont collectées et utilisées ».
Les conséquences de cette violation sont considérables. Les personnes dont les données ont été exposées courent un risque accru de fraude financière, d’usurpation d’identité et d’autres risques. Les entreprises qui font appel aux services de NPD pour la vérification de leurs antécédents ou à d’autres fins se trouveront probablement vulnérables elles aussi, car les données exposées pourraient être exploitées pour cibler leurs propres employés et leurs clients directs.
« La violation de NPD est une dure réalité qui montre à quel point la sécurité des données et la protection de la confidentialité sont essentielles »,
a déclaré Andy Syrewicze, évangéliste technique chez Hornetsecurity et animateur du podcast Security Swarm.
« Il est grand temps que les décideurs politiques et les leaders de l’industrie examinent de près les pratiques des courtiers en données et mettent en place des réglementations solides pour garantir la sécurité et la fiabilité des données des consommateurs ».
L’urgence de la sécurité des données et de la protection de la confidentialité
Des experts comme Eric et Andy conseillent vivement aux particuliers de surveiller de près leurs comptes financiers et leurs rapports de crédit pour détecter toute activité suspecte. Ils recommandent également de prendre des mesures proactives pour protéger leurs informations personnelles, comme le gel de leur crédit et l’utilisation de mots de passe forts et uniques pour tous les comptes en ligne. En outre, étant donné que la violation comprenait des liens de données permettant aux acteurs de la menace de relier des entités, les personnes concernées sont invitées à se méfier des tentatives d’usurpation d’identité visant à imiter des membres de leur famille proche et/ou des amis.
Alors que les répercussions de la violation du NPD continuent de se déployer, il est clair que la protection de la confidentialité et de la sécurité des données restera une priorité. Les leçons tirées de cette violation (parmi tant d’autres) sont essentielles, car les retombées d’un manquement à la protection des informations personnelles peuvent être profondément significatives, tant pour les particuliers que pour les entreprises.
Comment les cybercriminels exploitent les violations de données
Une fois que les cybercriminels ont accès aux données personnelles, ils peuvent malheureusement les exploiter pour diverses activités qui sont susceptibles de causer des tracas aux propriétaires d’entreprises :
Vol d’identité
L’usurpation d’identité est un délit grave qui a de lourdes conséquences. Les fraudeurs peuvent falsifier des identités, ouvrir des comptes, demander des prêts et se livrer à divers actes illégaux en utilisant des informations volées. Il peut en résulter un préjudice financier important ou une atteinte à la réputation de la personne concernée. Bien que le gel du crédit permette d’atténuer partiellement ce risque, l’usurpation d’identité n’en demeure pas moins un risque important.
Attaques de phishing
Les données personnelles permettent aux criminels de créer des schémas de phishing trompeurs et convaincants pour finalement voler des informations sensibles et/ou introduire des logiciels malveillants. Après une violation de données, le risque d’attaques par phishing monte en flèche, car les cybercriminels utilisent les données volées pour tromper les employés. Pour protéger votre organisation, il est essentiel de former vos employés à reconnaître les tentatives de phishinget à y répondre. Vérifiez toujours toute demande suspecte pour éviter de tomber dans ce piège dangereux.
Fraude financière
La fraude financière et la compromission des données financières constituent l’un des types de fraude les plus courants et peuvent souvent entraîner des transactions non autorisées, vider les comptes des victimes ou utiliser abusivement les cartes de crédit, ainsi que d’autres types d’attaques telles que les systèmes de redirection des factures et des paiements. Il peut être difficile de se remettre d’une fraude financière, car les victimes s’efforcent de récupérer les fonds volés ou même de corriger les frais non autorisés imputés à leurs actifs, ce qui peut prendre beaucoup de temps.
Ingénierie sociale
Avec les données volées en main, les auteurs d’attaques peuvent manipuler les victimes pour qu’elles divulguent encore plus d’informations, ce qui conduit à des attaques vocales (vishing) ou à des escroqueries par SMS (smishing). En utilisant diverses tactiques, les escrocs peuvent amener des victimes potentielles à fournir des informations personnelles ou professionnelles par téléphone ou par SMS. Les employés doivent toujours être conscients de ce qui pourrait leur arriver, à eux et à l’entreprise, et se préparer à des cyber-attaques qui cherchent à utiliser les données volées dans le but de les manipuler socialement.
Comment Hornetsecurity peut-il renforcer vos efforts de sensibilisation à la sécurité ?
La violation massive de données liée à National Public Data (NPD) a exposé 3 milliards de dossiers personnels, ce qui soulève de graves inquiétudes quant à la sécurité des données et à la protection de la confidentialité. Alors que les cybercriminels exploitent des informations sensibles, les individus et les organisations sont tenus de prendre des mesures immédiates pour se protéger contre l’usurpation d’identité et d’autres activités malveillantes.
Donnez à votre équipe les moyens d’agir grâce au service de sensibilisation à la sécurité de Hornetsecurity, qui s’appuie sur une technologie d’IA de pointe. Notre moteur de sensibilisation fonctionne en pilote automatique, créant une culture de sécurité durable adaptée aux besoins de chaque employé. De nombreuses entreprises bénéficient d’une formation en ligne entièrement automatisée et axée sur la demande, qui s’adapte au fur et à mesure que les connaissances de votre équipe augmentent.
Chez Hornetsecurity, nous proposons des simulations de spear phishing à la pointe de la technologie, développées pour améliorer et protéger votre équipe contre les cyber-menaces sophistiquées, en veillant à ce qu’elle reste vigilante dans un environnement en constante évolution. Il est facile de faire le premier pas vers la tranquillité d’esprit, il suffit de demander une démo aujourd’hui et d’améliorer sans effort la posture de sécurité de votre organisation !
