Des informations sensibles pour plus de huit millions d’utilisateurs de Cash App Investing – une application de négociation d’actions gérée par Block, le propriétaire du système de paiement Square – ont été exposées lorsqu’un ancien employé a téléchargé des rapports d’entreprise après avoir quitté l’entreprise.
Block a révélé l’exposition des données dans un dépôt réglementaire lundi, et a déclaré qu’il contactait les clients concernés.
“Lors de la découverte, nous avons pris des mesures pour remédier à ce problème et avons lancé une enquête avec l’aide d’un cabinet de criminalistique de premier plan”, a déclaré Fiona Lee, porte-parole de Block. “Nous savons comment ces rapports ont été consultés et nous avons informé les forces de l’ordre.”
Les données exposées n’impliquaient que les utilisateurs du produit d’investissement de Cash App, et non le service de paiement de personne à personne avec environ 44 millions d’utilisateurs, a indiqué la société.
Les informations ont été récupérées par l’ancien employé en décembre et comprenaient les noms des clients et les numéros de compte de courtage Cash App. Pour certains clients, cela comprenait également la valeur de leur portefeuille, leurs avoirs et certaines activités de négociation. Les informations n’incluaient pas les noms d’utilisateur, les mots de passe, les numéros de sécurité sociale et d’autres détails personnellement identifiables, a déclaré Block dans son dossier.
Les entreprises qui traitent des données financières disposent généralement de systèmes internes solides pour protéger ces informations. Mme Lee a refusé de commenter spécifiquement la manière dont l’ancien employé a obtenu l’accès et si l’entreprise avait fait des ajustements depuis la découverte de la violation.
“Nous continuons à revoir et à renforcer les garanties administratives et techniques pour protéger les informations”, a-t-elle déclaré dans une déclaration écrite.
Les sociétés financières qui ne sont pas des banques font généralement l’objet de beaucoup moins d’attention de la part des régulateurs concernant leurs systèmes de sécurité que les banques étroitement réglementées. Carré a obtenu une charte bancaire l’année dernière pour Square Financial Services, ce qui lui permet d’offrir certains services bancaires, mais cette unité fonctionne indépendamment de Cash App.
L’idée qu’un ancien employé ait pu se faufiler d’une manière ou d’une autre signifiait que quelque chose avait mal tourné. “Prendre au sérieux les données et la sécurité des clients nécessiterait de sécuriser l’accès externe aux comptes des employés et de désactiver cet accès en cas de licenciement, de préférence avant le départ de l’employé”, a déclaré James McQuiggan, expert en sécurité chez KnowBe4, une société de formation en cybersécurité.
Cash App est l’un des systèmes de paiement de personne à personne les plus populaires aux États-Unis, derrière Zelle et Venmo de PayPal. Il s’est développé pour inclure des cartes de débit, des outils de paiement marchand et un système de préparation des déclarations que Block a acheté à Credit Karma. La violation de données n’a affecté les utilisateurs d’aucun produit autre que l’application d’investissement, a déclaré Block.
Les clients de Cash App Investing ont déclaré dans un forum Reddit qu’ils avaient reçu des avis par courriel lundi au sujet de l’incident. Beaucoup ont été irrités par la brèche.
“Maintenant, la question est de savoir si nos noms et numéros de compte ont été divulgués ou non sur le dark web ?” un utilisateur a écrit.
0 Commentaires