700Credit data breach impacts 5.8 million vehicle dealership customers
Mis à jour :
Fuite de données chez 700Credit : Plus de 5,8 millions de clients de concessionnaires automobiles affectés
Une faille de sécurité chez 700Credit, un fournisseur américain de services financiers et technologiques pour l’industrie automobile, a entraîné l’exposition des informations personnelles de plus de 5,8 millions de personnes. L’incident a débuté par une compromission chez un partenaire d’intégration de 700Credit en juillet, non signalée dans un premier temps à l’entreprise.
700Credit a détecté une activité suspecte le 25 octobre et a lancé une enquête. Il a été déterminé que des données clients stockées dans une application web avaient été copiées sans autorisation. L’attaquant a pu dérober environ 20% des données clients entre mai et octobre, avant que l’API vulnérable ne soit désactivée.
Vulnérabilités exploitées :
- Compromission initiale chez un partenaire d’intégration.
- Une vulnérabilité dans une API permettant l’obtention d’informations clients.
- Échec de validation des identifiants de référence des consommateurs par rapport au demandeur original.
Données exposées :
- Nom complet
- Adresse physique
- Date de naissance
- Numéro de sécurité sociale (SSN)
Recommandations et mesures prises par 700Credit :
- Notification aux plus de 5,8 millions de personnes concernées.
- Dépôt d’une notification de violation auprès de la Federal Trade Commission (FTC) et d’une notification consolidée pour ses clients concessionnaires.
- Prise en charge des démarches administratives pour les clients affectés auprès de la FTC et des procureurs généraux des États.
- Information de la National Automobile Dealers Association (NADA).
- Offre d’un service gratuit de protection contre l’usurpation d’identité et de surveillance de crédit pendant 12 mois via TransUnion (avec une période d’inscription de 90 jours).
- Conseil aux personnes affectées de surveiller attentivement leurs comptes et d’envisager un gel de sécurité.