[ad_1]

Entreprise de ressources humaines basée sur le cloud Conformez-vous a déclaré cette semaine qu’une faille de sécurité de son site Web pourrait avoir compromis les informations sensibles des consommateurs – y compris les noms, adresses, numéros de téléphone, adresses e-mail et numéros de sécurité sociale – des formulaires fiscaux soumis par les milliers de clients de l’entreprise au nom des employés.

ComplyRight, basé à Pompano Beach, en Floride, a commencé à envoyer des lettres de notification de violation aux consommateurs concernés à la fin de la semaine dernière, mais les lettres types sont extrêmement vagues quant à la portée et à la cause de la violation. En effet, de nombreux lecteurs qui ont reçu ces lettres ont écrit à BreachTrace pour demander plus d’informations, car la société n’avait pas encore publié de détails sur la violation sur son site Web. En outre, la plupart de ces personnes ont déclaré qu’elles n’avaient jamais entendu parler de ComplyRight et qu’elles ne se souvenaient pas d’avoir fait affaire avec une entreprise de ce nom.

Ni ComplyRight ni sa société mère Taylor Corp. répondu à plusieurs demandes de commentaires la semaine dernière. Mais le mercredi soir, ComplyRight posté des faits supplémentaires à propos de l’incident sur son site, affirmant qu’une enquête récemment achevée suggère que moins de 10% des personnes ayant des formulaires fiscaux préparés sur la plate-forme ComplyRight ont été touchées.

D’après le site Web de ComplyRight, quelque 76 000 organisations, dont beaucoup sont de petites entreprises, utilisent ses services pour préparer des formulaires fiscaux tels que 1099s et W2s au nom de leurs employés et/ou sous-traitants. Bien que l’entreprise n’ait pas explicitement indiqué lequel de ses services cloud a été touché par la violation, le site Web qui gère son activité de préparation des déclarations est efile4biz.com.

ComplyRight dit avoir appris la violation le 22 mai 2018 et que «l’accès non autorisé» à son site a persisté entre le 20 avril 2018 et le 22 mai 2018.

ANALYSE

Même avec la divulgation supplémentaire publiée sur le site de ComplyRight, il est difficile d’évaluer avec précision l’ampleur de cette violation. ComplyRight inclut des informations sur sa division des solutions fiscales ici et il semble qu’ils déposent également Loi sur les soins abordables (ACA) et Documents HIPAA. Donc, si ces « solutions » font effectivement partie de la « plate-forme Web de déclaration fiscale », alors nous parlons probablement bien plus que les 76 000 clients d’efile4biz.com. Et n’oubliez pas que chaque « client » est une entreprise qui emploie plusieurs personnes.

Le site Web efile4biz.com de ComplyRight déclare depuis longtemps que l’entreprise utilise les mesures de sécurité les plus récentes et les plus sophistiquées, notant que « le résultat est un niveau de protection des données qui contrecarrerait même les cybercriminels les plus déterminés ».

« La sécurité des données est une préoccupation majeure pour les fournisseurs de fichiers électroniques réputés comme efile4Biz.com », explique le site. « Nous utilisons le programme de cryptage le plus puissant disponible, tel que recommandé par le gouvernement fédéral, pour bloquer l’interception ou l’interruption d’informations par un tiers. « Les données sont cryptées dès qu’elles sont entrées sur le site, et elles sont cryptées tout au long du processus d’impression, de courrier et de fichier électronique. »

Le site comprend également un Sceau de sécurité Geotrust destiné à renforcer la déclaration ci-dessus. Bien que ComplyRight n’ait pas expliqué exactement comment cette violation s’est produite, l’explication la plus probable est que des intrus ont réussi à installer un code malveillant sur le site Web efile4biz.com – un logiciel malveillant qui enregistrait les mots de passe saisis sur le site par les employeurs utilisant le service pour préparer les formulaires fiscaux.

Traduction : Les assurances concernant la sécurité des données en transit vers ou depuis le site de l’entreprise ne font pas grand-chose pour arrêter les cyber-voleurs qui ont compromis le site Web lui-même, car il existe d’innombrables outils que les malfaiteurs peuvent installer sur un site piraté qui vole des noms d’utilisateur, des mots de passe et d’autres données sensibles avant même que les informations ne soient cryptées et transmises sur le réseau.

De plus, il est loin d’être clair que la sécurité des données est en fait une préoccupation majeure de ComplyRight. Je m’explique : très souvent, lorsque j’ai des difficultés à obtenir des réponses ou des réponses d’une entreprise que je soupçonne ou dont je sais qu’elle a eu une infraction, je commence à identifier et à harceler les dirigeants de l’entreprise via leurs profils sur LinkedIn.

Comme je l’ai fait dans ce cas, j’ai été surpris de découvrir que je ne pouvais pas identifier un seul employé de ComplyRight sur Linkedin dont le travail est répertorié comme lié à la sécurité. Il ne semble pas non plus que ComplyRight embauche actuellement toute personne à ces postes. J’ai cependant trouvé de nombreux gestionnaires de réseau et ingénieurs en logiciel, développeurs et concepteurs Web, spécialistes des données et même plusieurs « spécialistes de la protection des affiches » (ComplyRight produit également des affiches sur la sécurité au travail du type généralement accroché dans les salles de repos des entreprises).

Il se peut bien qu’il y ait effectivement du personnel de sécurité travaillant chez ComplyRight, mais si c’est le cas, ils ne semblent pas avoir de profil LinkedIn. Encore une fois, ni ComplyRight ni sa société mère n’ont répondu aux multiples demandes de commentaires.

QUE POUVEZ-VOUS FAIRE?

La société offre 12 mois de surveillance gratuite du crédit aux personnes touchées par la violation. Comme je l’ai noté à plusieurs reprises ici, la surveillance du crédit peut être utile pour aider les gens à se remettre d’un vol d’identité, mais elle est pratiquement inutile pour empêcher les voleurs d’identité d’ouvrir de nouveaux comptes à votre nom.

Une approche plus globale de la lutte contre le vol d’identité implique d’adopter l’hypothèse que toutes ces données statiques vous concernant en tant que consommateur – y compris votre nom, date de naissance, adresse, adresse précédente, numéro de téléphone, numéro de carte de crédit, numéro de sécurité sociale et éventuellement un beaucoup plus d’informations sensibles – sont déjà piratées, volées et/ou activement en vente dans le milieu de la cybercriminalité.

Une réponse à cette réalité de plus en plus évidente consiste à décréter un gel de sécurité sur ses dossiers de crédit auprès des principaux bureaux d’évaluation du crédit à la consommation. Consultez cet abécédaire de la brèche de l’année dernière chez Equifax pour plus de détails sur la façon de procéder et pour obtenir des informations sur des alternatives légèrement moins restrictives.

De plus, les personnes qui ont reçu une lettre de ComplyRight peuvent également déposer une Formulaire 14039 avec le Service du revenu interne des États-Unis (IRS) pour aider à réduire la probabilité d’être victime d’une fraude au remboursement d’impôt, une arnaque de plus en plus courante dans laquelle les fraudeurs déposent une demande de remboursement d’impôt auprès de l’IRS en votre nom, puis empochent l’argent du remboursement.

Tout Américain peut être victime d’une fraude au remboursement, qu’il reçoive ou non de l’argent de l’IRS. La plupart des gens apprennent d’abord qu’ils sont des victimes lorsqu’ils vont déposer leur déclaration de revenus et la soumission est rejetée parce que quelqu’un a déjà déposé en leur nom.

En déposant un formulaire 14039, vous demandez à l’IRS de vous délivrer un code spécial à usage unique – appelé code PIN IP – par courrier postal qui doit être saisi sur les déclarations de revenus ultérieures avant que la déclaration puisse être acceptée par l’IRS.

Quelques mises en garde à propos de ce formulaire : si vous demandez et obtenez un code PIN IP, assurez-vous de stocker les informations dans un endroit sûr auquel vous pourrez accéder l’année prochaine lorsque viendra le temps de déposer à nouveau vos impôts (un code clairement étiqueté dossier dans un classeur verrouillé est un bon début).

De plus, comprenez que l’inscription au programme IP PIN exige que les contribuables passent un processus de vérification de l’identité appelé Accès sécurisé. Ce processus comprend la réalisation de demandes de crédit spécifiques auprès des trois grands bureaux de crédit Expérian, ce qui signifie que si vous avez déjà un gel de sécurité sur votre dossier de crédit à la consommation auprès d’Experian, vous devrez dégeler temporairement le gel avant de terminer l’inscription. Pour ceux qui envisagent un gel et recherchent un code PIN IP, complétez l’inscription Secure Access auprès de l’IRS avant d’adopter un gel.

Mise à jour, 23 juillet, 8h00 HE : Dans un avis d’infraction envoyé au département de la protection des consommateurs du Wisconsin, ComplyRight a déclaré que sa violation de données avait touché 662 000 personnes. Grâce à @PogoWasRight pour partager ce lien.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *