En septembre 2014, j’ai écrit une chronique intitulée « Nous prenons votre vie privée et votre sécurité. Sérieusement. » Il racontait mon expérience de réception d’un avis de la part de mon ancien fournisseur de services Internet – Cox Communications – qu’un employé du service client avait été amené à donner mes informations personnelles à des pirates. Cette semaine, le Commission fédérale des communications (FCC) a infligé une amende de 595 000 $ à Cox pour l’incident qui m’a affecté, ainsi que 60 autres clients.
Je soupçonnais, mais je ne pouvais pas prouver à l’époque, que le groupe de cybercriminels adolescents connu sous le nom de Lizard Squad était derrière l’attaque. Selon un communiqué de presse publié jeudi par la FCC, l’intrusion a commencé après que le membre de LizardSquad « Evil Jordie » a téléphoné au support de Cox prétendant être du service informatique de l’entreprise, et a convaincu à la fois un représentant du service client de Cox et un entrepreneur de Cox de saisir leurs identifiants de compte et mots de passe dans un faux , ou « hameçonnage », site Web.
«Avec ces informations d’identification, le pirate a obtenu un accès non autorisé aux informations personnellement identifiables des clients de Cox, qui comprenaient des noms, des adresses, des adresses e-mail, des questions / réponses secrètes, un code PIN et, dans certains cas, des numéros partiels de sécurité sociale et de permis de conduire des clients du câble de Cox, ainsi que les informations sur le réseau propriétaire du client (CPNI) des clients téléphoniques de l’entreprise », a déclaré la FCC. « Le pirate a ensuite publié des informations sur certains clients sur des sites de médias sociaux, modifié les mots de passe des comptes de certains clients et partagé les informations d’identification de compte compromises avec un autre membre présumé de la Lizard Squad. »
Ma chronique de septembre 2014 a reproché à Cox de ne pas exiger d’authentification en deux étapes pour les employés : si l’entreprise l’avait fait, cette attaque de phishing aurait probablement échoué. Comme condition du règlement avec la FCC, la commission a déclaré que Cox avait accepté d’adopter un plan de conformité complet, qui établit un programme de sécurité de l’information qui comprend des audits annuels du système, une surveillance interne des menaces, des tests d’intrusion et des systèmes et processus de notification de violation supplémentaires pour protéger les informations personnelles des clients, et la FCC surveillera la conformité de Cox avec le décret de consentement pendant sept ans.
C’est dommage qu’il faille des incidents comme celui-ci pour que davantage de FAI améliorent leur jeu en matière de sécurité. Il est également dommage que la plupart des FAI détiennent autant d’informations personnelles et sensibles sur leurs clients. Mais il n’y a aucune raison de confier à votre FAI encore plus d’informations personnelles vous concernant, telles que votre adresse e-mail. Si vous avez besoin d’une introduction sur les raisons pour lesquelles l’utilisation du service de messagerie de votre FAI par défaut ou comme sauvegarde n’est peut-être pas la meilleure idée, consultez cette histoire du début de la semaine.
Si les entreprises de câblodistribution, sans fil et DSL prenaient au sérieux la sécurité des comptes de messagerie des clients, elles offriraient un type d’authentification en deux étapes de sorte que si les informations d’identification du compte client sont hameçonnées, perdues ou volées, les attaquants ont toujours besoin de ce deuxième facteur – un jeton à usage unique. envoyé sur le téléphone mobile du client, par exemple. Malheureusement, très peu, voire aucun des plus grands FAI du pays prennent en charge ce niveau de base de sécurité supplémentaire, selon twofactorauth.orgun site qui suit les fournisseurs qui le proposent et fait honte à ceux qui ne le proposent pas.
Là encore, peut-être que les amendes de la FCC inciteront les FAI à faire ce qu’il faut pour leurs clients : c’est Brian Fong la FCC est offrant dans cette action un autre signe qu’il cherche à la police des violations de données et la sécurité bâclée de plus près.