Experian et T-Mobile US ont conclu des règlements distincts avec 40 États américains à la suite de deux violations de la sécurité des données en 2012 et 2015. Le règlement rapportera aux autorités 16 millions de dollars, ainsi que des assurances que cela ne se reproduira plus.
Experian supportera le plus gros poids de l’amende, avec 14 millions de dollars provenant de la société d’évaluation du crédit.
Dirigé par des procureurs généraux du Massachusetts et de l’Illinois, les colonies proviennent d’une paire de violations de données chez Experian en 2012 et 2015, dont la dernière T-Mo a été pris dans.
La violation de 2012 à Experian ont été révélés suite à une notification aux services secrets américains. Experian a acheté une société appelée Court Ventures, Inc. et tous ses clients, dont l’un était un voleur d’identité. Cet escroc a depuis plaidé coupable de fraude électronique, d’usurpation d’identité et d’autres crimes, notamment en se faisant passer pour un détective privé pour accéder aux systèmes d’Experian.
Toutes les données collectées par cet intrus unique ont été transmises à d’autres parties néfastes, qui ont effectué plus de 3 millions de requêtes d’informations personnelles contre des données appartenant à CVI et Experian.
Experian n’a donné aucun avis aux consommateurs concernés ou aux autorités de l’État concernant l’incident.
Dans 2015, la société d’évaluation du crédit à la consommation a de nouveau été touchée. Cette fois, l’attaquant a réussi à accéder à une partie du réseau d’Experian où T-Mobile US stockait les données utilisées pour traiter les applications des clients. Comme un résultat de cette attaqueles données de 15 millions de personnes – y compris les numéros de sécurité sociale, d’autres numéros d’identification, le nom, l’adresse et la date de naissance – ont été volées.
T-Mo et Experian ont informé les clients de cette attaque, et Experian a offert des services gratuits d’évaluation du crédit, comme c’est généralement le cas lorsqu’une grande entreprise se fait voler ce volume d’informations personnellement identifiables.
Poignet, rencontre claque
En plus de sanctions financières étonnamment faibles, Experian est obligé de fournir cinq années supplémentaires gratuites de surveillance du crédit en plus des deux années précédemment accordées à la suite de la violation de 2015, ainsi que deux rapports de crédit gratuits par an.
En outre, le règlement du bureau de crédit prévoyait l’obligation de maintenir un plan de réponse aux incidents et de notification des violations de données, de développer un programme de prévention du vol d’identité et de faire preuve de diligence raisonnable dans la vérification des personnes ayant accès aux données, y compris la réévaluation de l’accès après une acquisition.
Experian s’est également vu dire de ne pas « déformer à ses clients la mesure dans laquelle [it] protège la confidentialité et la sécurité des informations personnelles. »
T-Mobile US, quant à lui, a été invité à améliorer sa surveillance de la gestion des fournisseurs et à développer un programme de conformité garantissant que les tiers ayant accès aux informations personnelles des clients les stockent correctement.
On ne sait pas si l’une ou l’autre des sociétés a appris de ces violations, en particulier à la lumière des incidents ultérieurs dans les deux sociétés.
En 2020, Experian a signalé qu’il avait remis des données, y compris des PII, pour 24 millions de Sud-Africains à une autre personne qui se présente faussement afin d’avoir accès. Malgré les assurances que les données avaient été récupérées et détruites, il s’est présenté en ligne.
L’année dernière, T-Mobile US a de nouveau été attaqué et 77 millions de dossiers clients ont été volés. T-Mobile a déboursé 550 millions de dollars pour régler cette affaire. Étonnamment, c’est T-Mo’s cinquième manquement reconnu en quatre ans.
Pour mettre sa dernière amende de 2,43 millions de dollars en perspective, le Un-Carrier a déclaré un revenu net de 508 millions de dollars au troisième trimestre de cette année. Experian, faisant face à des amendes de 13,67 millions de dollars, a fait environ 6,2 milliards de dollars au cours de l’exercice 22 [PDF].
« Je suis ravie de me joindre à mes collègues aujourd’hui pour tenir ces entreprises responsables de leurs échecs à protéger les informations sensibles de nos résidents », a déclaré Massachusetts AG Maura Healey. ®
->Google Actualités