Le géant national de la vente au détail Target a révélé aujourd’hui qu’une violation de données découverte le mois dernier a révélé les noms, adresses postales, numéros de téléphone et adresses e-mail de jusqu’à 70 millions de personnes.
La divulgation intervient environ trois semaines après que la société a reconnu que des pirates informatiques s’étaient introduits à la fin de l’année dernière et avaient volé environ 40 millions d’enregistrements de cartes de débit et de crédit de clients.
« Dans le cadre de l’enquête médico-légale en cours de Target, il a été déterminé que certaines informations sur les clients – distinctes des données de carte de paiement précédemment divulguées – ont été prises lors de la violation de données », a déclaré la société dans un communiqué publié vendredi matin. « Ce vol n’est pas une nouvelle infraction, mais a été découvert dans le cadre de l’enquête en cours. À l’heure actuelle, l’enquête a déterminé que les informations volées comprennent des noms, des adresses postales, des numéros de téléphone ou des adresses e-mail pour jusqu’à 70 millions de personnes.
Target a déclaré qu’une grande partie des données est de nature partielle, mais que dans les cas où Target dispose d’une adresse e-mail, elle tentera de contacter les clients concernés avec des conseils d’information pour se prémunir contre les escroqueries aux consommateurs. Le géant de la vente au détail a rapidement noté que ses communications par e-mail ne demanderaient pas aux clients de fournir des informations personnelles dans le cadre de cette communication.
Président cible Gregg Steinhafel s’est excusé pour tout inconvénient que la violation aurait pu causer aux clients et a déclaré qu’il souhaitait que les clients sachent que « comprendre et partager les faits liés à cet incident est important pour moi et pour toute l’équipe Target ».
Néanmoins, la société n’a toujours pas divulgué de détails sur la façon dont les attaquants sont entrés par effraction. Ce manque de communication semble avoir effrayé de nombreuses personnes chargées de défendre d’autres détaillants contre de telles attaques, selon de nombreuses interviews menées par ce journaliste au cours des dernières semaines.
Cette dernière divulgation soulève également des questions sur les autres types d’informations qui ont pu être compromis dans cette violation de données. Dans le cadre de sa déclaration, Target a déclaré qu’il offrirait un an de services gratuits de surveillance du crédit aux personnes concernées. Target collecte les numéros de sécurité sociale des clients qui demandent des cartes rouges Target, qui offrent aux candidats une remise en argent de 5% s’ils acceptent de lier leurs comptes de débit à la carte rouge. Jusqu’à présent, cependant, Target n’a rien dit sur les numéros de sécurité sociale compromis.
En lisant entre les lignes, on peut se demander pourquoi Target fournit des services de surveillance du crédit aux personnes touchées par ce qui est essentiellement une violation de carte de crédit. Beaucoup de gens confondent la fraude par carte de crédit avec le vol d’identité, mais ce sont deux problèmes très différents. Le premier est assez facile à résoudre pour le consommateur, et il ou elle a très peu (le cas échéant) de responsabilité en cas de fraude. Le vol d’identité, en revanche, implique généralement la création de lignes de crédit nouvelles ou synthétiques au nom du consommateur, ce qui peut prendre de nombreuses années et coûter des milliers de dollars à résoudre.
La raison pour laquelle Target offre une protection contre le vol d’identité à la suite de cette violation a probablement plus à voir avec le fait que cette étape fait désormais partie du livre de jeu pour les entreprises qui subissent une violation de données. Étant donné que la plupart des consommateurs confondent la fraude par carte de crédit avec le vol d’identité, beaucoup interpréteront cela comme signifiant que l’entité violée résout en quelque sorte le problème, alors que les experts me disent que cette offre sert principalement de « première réponse » pour aider l’entité violée à survivre. l’indignation publique initiale face à une intrusion.
Mise à jour, 13 h 07 HE : Ajout d’une perspective supplémentaire sur cette annonce.