Name: Tremplin Numérique
Price range: $$$

Fidelity Investments a divulgué une violation de données affectant 77 099 clients. Cette violation concerne les numéros de sécurité sociale, les numéros de permis de conduire et d'autres informations personnelles que les criminels peuvent utiliser pour commettre une fraude ou un vol d'identité.

Les détails ici sont quelque peu obscurs. Un dossier déposé le 9 octobre auprès du procureur général du Maine indique qu'un acteur malveillant a eu accès à « certaines informations » le 17 août en créant et en « utilisant » deux comptes clients. Fidelity a identifié la menace deux jours plus tard et a mis fin à l'accès du mauvais acteur.

Quant à quoi des informations ont été volées – eh bien, nous devons examiner un dossier distinct qui TechCrunch trouvé sur le site Web du gouvernement de l'État du Massachusetts. Il indique que les numéros de sécurité sociale, les numéros de permis de conduire et les comptes financiers ont été compromis lors de cette violation. Cependant, ce dossier ne précise pas combien de numéros de sécurité sociale et de permis de conduire ont été volés. (La référence aux comptes financiers est également un peu déroutante, car d'autres documents de Fidelity affirment que les comptes d'utilisateurs n'ont pas été compromis.)

« Entre le 17 et le 19 août, un tiers a accédé et obtenu certaines informations sans autorisation en utilisant deux comptes clients qu'il avait récemment créés. Nous avons détecté cette activité le 19 août et avons immédiatement pris des mesures pour mettre fin à cet accès. Une enquête a été rapidement ouverte auprès de assistance d'experts en sécurité externes. Les informations obtenues par le tiers concernaient un petit sous-ensemble de nos clients. Veuillez noter que cet incident n'impliquait aucun accès à votre (vos) compte(s) Fidelity.

Fidelity n'a pas expliqué comment deux comptes clients ont eu accès aux données privées de 77 000 personnes. Cependant, la société affirme que ces comptes ont soumis des « demandes frauduleuses » pour extraire des documents d'une base de données interne. Une attaque SSRF (Server-Side Request Forgery) semble probable, bien qu'il ne s'agisse que de spéculations.

Les clients concernés ont commencé à recevoir des alertes de violation de Fidelity le 9 octobre. Heureusement, l'entreprise est dire aux clients quelles données les concernant ont été volées. Il propose également 24 mois de services de surveillance du crédit et de restauration de l’identité des personnes concernées.

Cette violation n’a aucun rapport avec la fuite de Fidelity Investments Life Insurance qui a été divulguée en mars. Environ 28 000 noms, dates de naissance, numéros de sécurité sociale, numéros de carte de crédit et informations bancaires de clients ont été perdus dans la fuite de Fidelity Investments Life Insurance en raison d'une violation chez Infosys McCamish System, un tiers qui construit des plateformes et des services numériques depuis environ 40 compagnies d'assurance.

Fidelity affirme n'avoir « connaissance d'aucune utilisation abusive » des données client volées liées à cet incident. Mais si cette violation inclut le permis de conduire et les numéros de sécurité sociale, comme le suggère le dossier du Massachusetts, le risque d'utilisation abusive est élevé. Les clients concernés peuvent s'inscrire à une surveillance du crédit et à la restauration de leur identité, gracieuseté de Fidelity, mais vous devriez également envisager de geler votre crédit et de configurer des alertes de fraude.