Le moteur de recherche russe domicilié aux Pays-Bas, le fournisseur de services de téléphonie et de messagerie électronique Yandex a révélé vendredi une violation de données qui a compromis 4 887 comptes de messagerie de ses utilisateurs.
La société a imputé l’incident à un employé anonyme qui avait fourni un accès non autorisé aux boîtes aux lettres des utilisateurs à des fins personnelles.
« L’employé était l’un des trois administrateurs système disposant des droits d’accès nécessaires pour fournir un support technique pour le service », a déclaré Yandex dans un communiqué.
La société a déclaré que la faille de sécurité avait été identifiée lors d’un audit de routine de ses systèmes par son équipe de sécurité. Il a également déclaré qu’il n’y avait aucune preuve que les détails de paiement des utilisateurs avaient été compromis lors de l’incident et qu’il avait informé les propriétaires de boîtes aux lettres concernés de changer leurs mots de passe.
On ne sait pas immédiatement quand la violation s’est produite ou quand l’employé a commencé à offrir un accès non autorisé à des tiers.
« Une enquête interne approfondie sur l’incident est en cours et Yandex apportera des modifications aux procédures d’accès administratif », a déclaré la société mentionné. « Cela aidera à minimiser le potentiel pour les individus de compromettre la sécurité des données des utilisateurs à l’avenir. La société a également contacté les forces de l’ordre. »
Les menaces internes continuent de frapper les entreprises
Ce n’est pas la première fois que des menaces internes frappent les entreprises technologiques et entraînent des dommages financiers ou de réputation.
Le mois dernier, Telesforo Aviles, un ancien technicien ADT basé à Dallas, âgé de 35 ans, plaider coupable à la fraude informatique et à l’enregistrement visuel invasif pour avoir pénétré à plusieurs reprises des caméras, il a installé et vu des clients se livrant à des relations sexuelles et à d’autres actes intimes. Il a été licencié du cabinet en avril 2020.
En décembre, l’ancien ingénieur Cisco Sudhish Kasaba Ramesh, 31 ans, était condamné à 24 mois de prison pour la suppression de 16 000 comptes Webex sans autorisation, ce qui a coûté à l’entreprise plus de 2,4 millions de dollars, dont 1 400 000 dollars en temps de travail et 1 000 000 dollars en remboursements aux clients.
En octobre de l’année dernière, Amazon a licencié un employé pour avoir partagé les noms et adresses e-mail de clients avec un tiers.
Et en novembre 2019, la société de cybersécurité Trend Micro révélé qu’un employé non autorisé a vendu les données de 68 000 clients à des cybercriminels malveillants, qui ont ensuite utilisé ces données pour cibler les clients avec des appels frauduleux en se faisant passer pour le personnel de support de Trend Micro.