[ad_1]

Les experts en sécurité avertissent les consommateurs d’être particulièrement attentifs aux escroqueries par e-mail ciblées dans les semaines et les mois à venir, à la suite d’une brèche dans une grande entreprise de marketing par e-mail qui a révélé les noms et adresses e-mail des clients de certaines des plus grandes banques et marques d’entreprise du pays.

À la fin de la semaine dernière, Irving, Texas basé Epsilon a publié une brève déclaration avertissant que les pirates avaient volé les adresses e-mail et les noms des clients appartenant à un « sous-ensemble de ses clients ». Epsilon n’a pas nommé les clients dont les données clients ont été perdues lors de la violation ; ces informations seraient diffusées au cours du week-end, alors que des dizaines de grandes entreprises ont commencé à avertir les clients de se méfier des escroqueries par e-mail non sollicitées qui pourraient par conséquent usurper l’identité de leurs marques.

Parmi les clients d’Epsilon touchés figurent trois des dix plus grandes banques américaines – JPMorgan Chase, Citibank et Banque américaine – ainsi que Banque Barclays et Capitale une. Plus de deux douzaines d’autres marques ont alerté leurs clients sur la perte de données lors de la violation d’Epsilon (une liste des entreprises connues pour avoir été touchées se trouve au bas de cet article).

Rod Rasmussendirecteur technique chez Identité Internet et l’agent de liaison de l’industrie pour le Groupe de travail anti-hameçonnageestime que la violation d’Epsilon entraînera une augmentation des attaques de « spear phishing », celles qui profitent des relations de confiance connues entre les entreprises et les clients en créant des messages personnalisés qui s’adressent aux destinataires par leur nom, augmentant ainsi l’authenticité apparente de l’e-mail.

« Je pense que cela va faire une grande différence dans le spear phishing, où vous ne ciblez peut-être pas un individu, mais vous savez que cette personne a un compte bancaire auprès de la US Bank et a récemment séjourné chez Disney », a déclaré Rasmussen. « Vous pouvez désormais automatiser le spam en fonction de ce que les gens ont réellement fait, de sorte que votre missive dont ils ont besoin pour se connecter à votre site de phishing est beaucoup plus efficace. Vous pouvez également corréler vos données pour voir tous les services que quelqu’un utilise, les hameçonner pour un utilisateur/mot de passe sur quelque chose d’inoffensif, puis réutiliser le même mot de passe pour la banque qu’ils utilisent, car il y a une telle réutilisation endémique du mot de passe là. »

Les escrocs ont utilisé des méthodes de spear phishing très similaires pour voler les coordonnées des clients à des dizaines d’entreprises de marketing par e-mail à la fin de l’année dernière, comme BreachTrace.com l’a rapporté en détail pour la première fois. À la suite de cet assaut, les données se répandent dans d’autres entreprises de marketing par e-mail telles que ArgentPop ont suscité des divulgations de la part de clients tels que TripAdvisor et Play.com.

Neil Schwartzmanndirecteur exécutif de la Coalition Against Unsolicited Commercial Email (CAUCÉ) et un ancien cadre chez un fournisseur de services de messagerie Chemin de retoura déclaré que son organisation prévoyait de publier un document plus tard dans la journée énonçant les mesures de sécurité que les fournisseurs devraient prendre, telles que le cryptage des données client.

« Il y a des meilleures pratiques que la majeure de l’industrie aurait dû mettre en œuvre il y a un an, mais ne l’a jamais fait, et c’est juste dégoûtant et répréhensible qu’ils n’aient pas encore fait ce genre de choses », a déclaré Schwartzman. « J’ai parlé à des personnes d’autres secteurs industriels qui ont dit que si mes auditeurs externes découvraient que nous traitions les données des clients de cette façon, nous aurions de sérieux problèmes. »

Schwartzman a déclaré que les fournisseurs de services Internet devraient commencer à traiter même les e-mails commerciaux opt-in comme « très circonspects ».

« Pour protéger les utilisateurs, les FAI devraient mettre à niveau les installations anti-hameçonnage et exiger une conformité stricte avec l’anti-spam [standards] », a déclaré Schwartzman. « À ce stade, les expéditeurs d’e-mails sont certainement sur le ring avec Mike Tyson à son apogée. »

Jonathan Zittrainprofesseur de droit à la Harvard Law School et co-fondateur de la Centre Berkman pour Internet et la sociétéa déclaré que les violations chez Epsilon et d’autres expéditeurs d’e-mails n’auraient jamais dû se produire.

« Les bons contrôles de sécurité – ou l’architecture globale, sans garder un Ft. Knox d’adresses e-mail paresseusement sur Internet, même derrière un mot de passe, pourrait empêcher cela », a écrit Zittrain dans un e-mail à BreachTrace.com. « Pire encore, les clients qui ont spécifiquement demandé à se désabonner des e-mails marketing ont également été touchés. La désinscription devrait signifier une véritable suppression de la base de données, plutôt qu’une rétention dans la base de données avec un marqueur indiquant que quelqu’un s’est désinscrit.

Zittrain a déclaré avoir reçu des avis de deux des entreprises touchées par la violation d’Epsilon, et qu’aucune des deux entreprises n’a mentionné la source du problème.

« Rappelant les rapports des sociétés de cartes de crédit sur les violations des commerçants – ils ne disent pas qui a perdu les données », a déclaré Zittrain. « Pourquoi les entreprises de première ligne feraient-elles tout leur possible pour protéger l’entreprise qui dormait à l’interrupteur ? »

On ne sait pas combien d’autres divulgations sont encore à venir. Epsilon a refusé de commenter au-delà de son énoncé clairsemé de quatre phrases. Le site de la société indique qu’Epsilon dessert environ 2 500 clients et envoie environ 40 milliards de messages marketing chaque année à ses clients.

Le cours de l’action de la société mère d’Epsilon, Alliance Data Systems Corp. (NASDAQ : ADS) était en baisse de 4,77 $ par action, soit 5,55 %, lundi à la mi-journée.

Voici une liste d’entreprises qui ont reconnu avoir perdu des données de contact client et des adresses e-mail à la suite de la violation d’Epsilon. J’ai reçu un avis d’une entreprise qui pas déjà sur cette liste? Sonnez dans les commentaires ci-dessous.

Mise à jour, 15 h 14 HE : Si possible, veuillez coller une copie de la communication dans votre commentaire seulement Si vous ne fais pas voir le nom de l’entité concernée dans la liste ci-dessous. Databreaches.net a des liens vers certaines des lettres de divulgation, que j’essaierai également d’ajouter aux noms de marque individuels ci-dessous. Les premiers rapports suggéraient que Borders et Verizon avaient également émis des alertes, mais celles-ci ne sont pas confirmées et ont été supprimées de la liste pour le moment.

Mise à jour, 15 h 22 HE : J’ai eu des nouvelles des responsables des relations publiques de Borders, qui ont déclaré que l’entreprise était ne pas impacté par la brèche Epsilon.

Mise à jour, 17 h 14 HE : Correction du nombre de clients qu’Epsilon possède actuellement et du volume d’e-mails qu’ils envoient chaque année.

Mise à jour, 5 avril, 11 h 01 HE : Visa dit que c’était ne pas impacté par la brèche Epsilon.

Mise à jour, 5 avril, 15 h 42 HE : Ajouté Bebe, Soccer.com, Eddie Bauer, 1800Flowers, entre autres. Suppression d’American Express, qui dit qu’elle n’a pas été affectée. Il semble que la confusion au sujet d’Amex et de Visa provienne du fait que les titulaires de carte reçoivent des avis par le biais de divers programmes de récompenses.

  • 1800-Fleurs
  • Abe Livres
  • Air Miles Canada
  • Financière Ameriprise
  • Banque Barclays du Delaware
  • Corps de plage
  • Bebe Stores Inc.
  • Avantage Cosmétiques
  • Meilleur achat
  • Brookstone
  • Capitale une
  • Communications de la Charte (Charter.com)
  • chasser
  • Citibank
  • Marché de la ville
  • Le conseil du collège
  • Crucial.com
  • Dell Australie
  • Dillon
  • Vacances Disney
  • Eurosport/Soccer.com
  • Eddie Bauer
  • Nourriture 4 Moins
  • Frédéric Meyer
  • Frites
  • GlaxoSmithKline
  • Honneurs Hilton
  • Le réseau de téléachat
  • Jay C
  • JPMorgan Chase
  • Roi Soopers
  • Kroger
  • Haricot LL
  • Lacoste
  • Marks & Spencer (Royaume-Uni)
  • Récompenses Marriott
  • McKinsey Trimestriel
  • Moneygramme
  • Banque M&T
  • New York & Cie.
  • QFC
  • Ralph
  • Red Roof Inn Inc.
  • Hôtel Ritz Carlton
  • Robert Demi
  • Scottrade
  • Marques Smith
  • Cible
  • TD Améritrade
  • TIAA-CREF
  • TiVo
  • Banque américaine
  • Verizon
  • Croisières fluviales vikings
  • Walgreens
  • Réseau financier mondial Banque Nationale

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *