Les voleurs d’identité ont volé les données fiscales et salariales des trois grands bureaux de crédit Equifax inc.selon une lettre que le géant de l’épicerie Kroger envoyé à tous les employés actuels et à certains anciens employés jeudi. La plus grande chaîne d’épiceries du pays en termes de revenus semble être l’un des nombreux clients d’Equifax qui ont été victimes de la même manière cette année.
Le site W-2Express d’Equifax, basé à Atlanta, rend les formulaires W-2 électroniques accessibles en téléchargement pour de nombreuses entreprises, y compris Kroger — qui emploie plus de 431 000 personnes. Selon une lettre que Kroger a envoyée aux employés datée du 5 mai, les voleurs ont pu accéder aux données W-2 simplement en entrant sur le portail d’Equifax le code PIN par défaut de l’employé, qui n’était rien de plus que les quatre derniers chiffres du numéro de sécurité sociale de l’employé et leur année de naissance à quatre chiffres.
« Il semble que des inconnus aient accédé à [Equifax’s] Site Web W2Express utilisant les informations de connexion par défaut basées sur les numéros de sécurité sociale (SSN) et les dates de naissance, qui, selon nous, ont été obtenues à partir d’une autre source, comme une violation de données antérieure dans d’autres institutions », a écrit Kroger dans une FAQ sur l’incident. qui accompagnait la lettre envoyée aux employés. « Nous n’avons aucune indication que les systèmes de Kroger ont été compromis. »
La FAQ continue :
« Pour le moment, nous n’avons aucune indication que les associés qui avaient créé un nouveau mot de passe (n’utilisant pas le code PIN par défaut) ont été affectés, et nous identifions toujours quels associés utilisant encore le code PIN par défaut peuvent avoir été affectés. Nous pensons que des personnes ont eu accès aux formulaires électroniques W-2 de certains associés de Kroger et ont peut-être utilisé ces informations pour produire des déclarations de revenus en leur nom dans le but de demander un remboursement frauduleux.
« Kroger travaille avec Equifax et les autorités pour déterminer qui est concerné et restaurer un accès sécurisé à W-2Express. À l’heure actuelle, nous pensons que vous faites partie de nos associés actuels et anciens de Kroger utilisant le code PIN par défaut dans le système W-2Express. Cela ne signifie pas nécessairement que votre W-2 a été consulté dans le cadre de cet incident de sécurité. Nous travaillons toujours pour identifier les informations des individus qui ont été consultées.
Kroger a déclaré qu’il ne savait pas encore combien de ses employés pourraient avoir été touchés.
L’incident survient au milieu d’informations rapportées pour la première fois sur ce blog plus tôt cette semaine selon lesquelles des fraudeurs fiscaux ont également ciblé des employés d’entreprises qui ont utilisé le géant de la paie ADP pour donner aux employés l’accès à leurs données W-2. ADP a reconnu que l’incident avait touché des employés de US Bank et d’au moins 11 autres entreprises.
Equifax n’a pas répondu aux demandes de commentaires sur le nombre d’autres entreprises clientes susceptibles d’avoir été affectées par la même (in)sécurité par défaut. Mais le porte-parole de Kroger Keith Dailey a déclaré que d’autres entreprises qui s’appuyaient sur Equifax pour les données W-2 s’appuyaient également sur les quatre derniers du SSN et l’année de naissance à 4 chiffres comme authentificateurs.
« Pour autant que je sache, c’est la configuration standard d’Equifax », a déclaré Dailey.
Le mois dernier, Université de Stanford alerté 600 employés actuels et anciens que leurs données ont également été consultées par des voleurs d’identité via le portail W-2Express d’Equifax. Université du nord-ouest également vient d’alerter 150 employés que leurs données salariales et fiscales ont été volées via Equifax cette année.
Dans une déclaration publiée à BreachTrace, la porte-parole d’Equifax Diane Bernez a confirmé que la société avait été informée d’un accès frauduleux présumé aux informations de paie via son service W-2Express par Kroger.
« Les informations en question ont été consultées par des personnes non autorisées qui ont pu y accéder en utilisant les informations personnellement identifiables des utilisateurs », indique le communiqué. « Nous n’avons aucune raison de croire que les informations personnellement identifiables ont été obtenues via les systèmes d’Equifax. Malheureusement, à mesure que les informations personnellement identifiables des individus sont devenues plus accessibles au public, ces types d’incidents de fraude en ligne se sont intensifiés. Par conséquent, il est essentiel que les consommateurs et les entreprises prennent des mesures pour protéger les informations personnellement identifiables des consommateurs, y compris l’utilisation de mots de passe et de codes PIN forts. Nous travaillons en étroite collaboration avec Kroger pour évaluer et surveiller la situation.
Les voleurs d’identité s’en prennent aux données W-2 car elles contiennent une grande partie des informations nécessaires pour demander frauduleusement un remboursement d’impôt important à l’IRS au nom de quelqu’un d’autre. Kroger a déclaré aux employés qu’ils sauraient qu’ils étaient victimes de cette violation s’ils recevaient un avis de l’IRS concernant une demande de remboursement frauduleuse déposée en leur nom.
Cependant, la plupart des victimes apprennent d’abord le crime après avoir vu leurs retours rejetés par l’IRS parce que les escrocs les ont devancés. Même ceux qui ne sont pas tenus de produire une déclaration peuvent être victimes de fraude au remboursement, tout comme ceux qui ne sont pas réellement remboursés par l’IRS.
Kroger a déclaré qu’il offrirait des services gratuits de surveillance du crédit aux employés touchés par la violation. Le porte-parole de Kroger, Dailey, a refusé de dire quelle entreprise assurerait cette surveillance, mais il a confirmé qu’il ne s’agirait pas d’Equifax.
Mise à jour, 7 mai, 9h44 : Ajout de la mention de l’incident de la Northerwestern University impliquant le portail W-2 d’Equifax.