Banque MTCune entreprise qui aide plus de 750 petites banques américaines communautaires à émettre des cartes de crédit à leurs titulaires de compte, a déclaré qu’une mauvaise configuration du site Web a révélé les noms, adresses, dates de naissance et numéros de sécurité sociale de milliers de personnes qui ont demandé des cartes entre début mars 2017 et mi-juillet 2018.
TCM est une filiale de Washington, DC ICBA Bancard Inc.qui aide les banques communautaires à proposer une option de carte de crédit à leurs clients utilisant des cartes de marque bancaire.
Dans une lettre envoyée aujourd’hui aux clients concernés, TCM a déclaré que les informations exposées étaient des données que les demandeurs de cartes avaient téléchargées sur un site Web géré par un fournisseur tiers. TCM a déclaré avoir appris le problème le 16 juillet 2018 et avoir résolu le problème le lendemain.
Bruce Radke, un avocat travaillant avec TCM sur ses efforts de sensibilisation des clients aux violations, a déclaré que moins de 10 000 consommateurs ayant demandé des cartes ont été touchés. Radke a refusé de nommer le fournisseur tiers, affirmant que TCM était contractuellement interdit de le faire.
« Ce sont moins de 25 % des demandes que nous avons traitées au cours de la période concernée qui ont été potentiellement affectées, et moins de 1 % de notre base de titulaires de carte a été affectée ici », a déclaré Radke. « Nous avons depuis confirmé que le problème a été corrigé, et nous demandons au fournisseur d’examiner ses technologies et ses procédures pour détecter et prévenir des problèmes similaires à l’avenir. »
ICBA Bancard est la filiale de paiement de la Banquiers communautaires indépendants d’Amérique, une organisation représentant plus de 5 700 institutions financières qui s’est prononcée assez haut et fort pour tenir les détaillants responsables des violations de carte de crédit au fil des ans. L’année dernière, le L’ICBA a poursuivi Equifax sur la violation massive de données des trois grands bureaux de crédit qui a révélé les numéros de sécurité sociale et d’autres données sensibles sur près de 150 millions d’Américains.
De nombreuses entreprises qui subissent une violation de données ou une fuite de données rejettent rapidement la responsabilité de l’incident sur un tiers qui a mal géré des informations sensibles. Parfois, ce blâme est entièrement justifié, mais le plus souvent, de telles affirmations sonnent creux aux oreilles des personnes concernées, en particulier lorsqu’elles émanent de banques et de fournisseurs de sécurité. Par exemple, fournisseur de protection contre le vol d’identité LifeLock a récemment abordé une mauvaise configuration du site Web qui a exposé les adresses e-mail de millions de clients. Propriétaire de LifeLock Symantec a déclaré plus tard qu’il avait corrigé la faille, qu’il attribuait à une erreur commise par un partenaire marketing tiers anonyme.
La gestion des risques tiers peut être difficile, en particulier pour les organisations comptant des centaines ou des milliers de partenaires (pensez à la violation de Target, qui a commencé par un compromis de logiciel malveillant opportuniste chez un fournisseur de chauffage et de climatisation). Néanmoins, les organisations de toutes formes et tailles doivent être vigilantes pour s’assurer que leurs partenaires font leur part en matière de sécurité, de peur que le risque de tiers ne se transforme en une violation de la confiance des clients.