McDonalds et Walgreens cette semaine a révélé que des violations de données dans des entreprises de marketing partenaires avaient exposé des informations sur les clients. Il y a eu une grande couverture médiatique traitant ces cas et d’autres cas similaires comme des incidents isolés, mais tous les signes indiquent qu’ils sont directement liés à une série d’attaques de « spear phishing » contre des entreprises de marketing par e-mail qui ont siphonné les données des clients de plus de 100 entreprises au cours des derniers mois.
Le 24 novembre, j’ai publié un article d’enquête selon lequel des criminels menaient des attaques par e-mail complexes et ciblées contre des employés de plus de 100 fournisseurs de services de messagerie (ESP) au cours des derniers mois dans le but de détourner des ordinateurs dans des entreprises qui vendent directement aux clients de certaines des plus grandes entreprises du monde. De cette histoire:
« Les attaques sont un exemple classique de la façon dont les voleurs organisés peuvent abuser des relations de confiance entre les entreprises pour accéder à des ressources importantes qui sont ensuite recyclées lors de futures attaques. Selon plusieurs sources, les soi-disant attaques de « spear phishing » dans cette campagne de fraude sont arrivées sous la forme d’e-mails chargés de virus adressés par leur nom aux employés d’ESP, et de nombreux cas incluaient le nom de l’ESP dans le corps du message.
Havre d’artiste deviantART également divulgué cette semaine que sa base de données e-mail – comprenant 13 millions d’adresses – avait été piratée. deviantART a imputé la violation à Systèmes SilverPop Inc.une entreprise de marketing par e-mail avec laquelle elle s’associe.
McDonald’s a déclaré que sa fuite de données était due à des systèmes informatiques piratés exploités par une société de gestion de bases de données de messagerie embauchée par son partenaire commercial de longue date. Arc dans le monde, une filiale de services marketing de la société de publicité Leo Burnett. Contacté par téléphone, Arc Worldwide President Guillaume Rosen a renvoyé toutes les questions à un autre employé, qui a refusé de retourner les appels demandant des commentaires.
Walgreens n’a pas nommé la source de la violation, mais a déclaré qu’elle était due à «un accès non autorisé à une liste de courrier électronique de clients qui reçoivent des offres spéciales et des newsletters de notre part. Par conséquent, il est possible que vous ayez reçu des spams vous demandant d’aller sur un autre site et de saisir des données personnelles. Fait intéressant, Arc Worldwide a déclaré dans un communiqué de presse du 27 juillet 2009 que Walgreens l’avait choisi comme agence de marketing promotionnel de référence.
En rédigeant cet article de blog, j’ai lu une histoire par Le registre journaliste Dan Goodin qui a cité un agent du FBI qui a noué un fil entre toutes les violations. Goodin a rapporté que des agents du FBI enquêtant sur le vol de données clients appartenant à McDonald’s enquêtaient sur des violations similaires qui auraient pu toucher plus de 100 autres entreprises qui utilisaient les services de marketing par e-mail d’Atlanta. Systèmes Silverpop. De ce morceau :
« La violation concerne Silverpop, un fournisseur de services de messagerie qui compte plus de 105 clients », a déclaré Stephen Emmett, un agent spécial du bureau extérieur du FBI à Atlanta. Le registre. « Il semble provenir d’un lieu à l’étranger. »
En d’autres termes, il est juste de dire que nous pouvons nous attendre à beaucoup plus de ces divulgations dans les jours et les semaines à venir. L’autre chose à garder à l’esprit est que même si les données client en cause dans ces divulgations de violation ne sont pas exactement super sensibles – adresses e-mail et anniversaires, par exemple – ces informations peuvent permettre à des attaquants qualifiés d’être plus convaincants en se faisant passer pour l’entreprise victime dans le but d’extraire des données client encore plus utiles, telles que des mots de passe. Il suffit de regarder la récente rupture à Médias Gawker – qui a exposé les mots de passe et les noms d’utilisateur de 1,3 million d’utilisateurs – pour voir à quelle fréquence les utilisateurs recycler les mots de passe sur un grand nombre de sites Web.
Mise à jour, 16 décembre, 17 h 01 HE : Le PDG de SilverPop, Bill Nussey, a publié une brève réponse à l’incident sur le blog de l’entreprise.