Courtney Randall ne peut que plaisanter sur la quantité de ses informations personnelles qui ont potentiellement été divulguées lors d’une violation.
“C’est une gifle au visage”, a-t-elle déclaré.
“C’est arrivé au point où la seule information sensible qui n’a pas été divulguée à mon sujet sur Internet est ma couleur préférée.”
La résidente du Queensland a contracté un petit prêt auprès de Latitude Financial pour payer sa facture de téléphone portable.
Le prêteur non bancaire est la dernière grande entreprise australienne à se faire pirater les données de ses clients par des entités criminelles inconnues.
On pense jusqu’à présent que plus de 300 000 personnes sont touchées par la faille de cybersécurité au début de cette semaine.
Au moins 100 000 permis de conduire font partie des informations sensibles volées, selon Latitude Financial.
La société compte près de 3 millions de clients actuels.
Mme Randall ne sait pas si elle fait partie de la cohorte malchanceuse. Malheureusement, ce jeu d’attente n’est pas nouveau pour elle.
Elle est cliente de la société de télécommunications Optus et ancienne de l’assureur-maladie privé Medibank, qui ont également été piratés l’année dernière. Mme Randall est furieuse de cette situation et de la réponse des entreprises et du gouvernement.
“Je n’ai aucune compensation”, a-t-elle déclaré.
“Maintes et maintes fois, j’ai reçu des e-mails vagues et aucun suivi.”
Deux États plus loin, Jorge Gonez est également venu ici auparavant.
Le résident victorien a frappé le terrible tiercé gagnant : Optus, Medibank, et maintenant, Latitude Financial.
“Il s’agit de notre troisième violation de données”, a-t-il déclaré.
M. Gonez a fait appel à un courtier connecté à Latitude Financial pour obtenir un prêt automobile auprès de la société cotée à l’ASX.
Après avoir découvert le piratage de Latitude dans les médias jeudi, il attend que l’entreprise lui dise s’il fait partie des clients impactés.
Comme Mme Randall, il est conscient de ce qu’il peut maintenant devoir faire maintenant pour se donner la tranquillité d’esprit contre le vol d’identité ou la criminalité financière. Il y a les tracas de la réémission potentielle de son permis de conduire, du changement de compte bancaire ou de la nouvelle demande de carte de crédit.
“Ce que j’aimerais savoir, c’est : quelles informations ont été consultées exactement pour que je puisse passer aux étapes suivantes ?” il a dit.
“Je me sens abandonné [by Latitude]. Considérant que lorsque nous avons obtenu le prêt avec eux, on nous a demandé de fournir beaucoup d’informations, ce que nous avons fait.”
Latitude a envoyé à de nombreux clients un e-mail concernant la violation jeudi soir. Dans des commentaires répondant aux personnes sur les réseaux sociaux, les représentants du prêteur ont également déclaré que ses centres de contact étaient “actuellement indisponibles” afin qu’il puisse “s’assurer qu’aucun autre risque de sécurité ne se produise”.
“Cela me déconcerte absolument”, a déclaré Mme Randall.
“Ils envoient juste un e-mail effleurant le tout.”
Latitude Financial n’a pas répondu aux questions d’ABC News pour savoir si ses pirates ont demandé une rançon. Les données des clients de Medibank ont été publiées sur le dark web l’année dernière après que l’assureur a refusé de cracher sur une entité liée à la Russie pour ses données volées.
Le gouvernement fédéral a précédemment soutenu la décision des entreprises de ne pas payer de rançons, et il a également annoncé son intention de réviser un plan de cybersécurité de 1,7 milliard de dollars mis en place sous le dernier Premier ministre Scott Morrison.
Un cyber-office national – dirigé par un nouveau coordinateur pour la cybersécurité – sera créé sous l’égide du ministère de l’Intérieur pour diriger la stratégie renouvelée.
S’exprimant vendredi, le trésorier fédéral Jim Chalmers a confirmé que Latitude travaillait avec les autorités fédérales compétentes sur la “violation informatique substantielle”, qui fait potentiellement l’objet d’une enquête criminelle.
“Les gens sont évidemment inquiets lorsque nous avons ce genre de violations de données”, a-t-il déclaré.
“Et il y a une soif d’informations, et je le comprends.”
Qu’est-il arrivé aux données de Latitude ?
La société cotée en bourse a annoncé le piratage jeudi matin via l’ASX.
Il a déclaré que l’attaque avait commencé à partir d’un fournisseur majeur utilisé par l’entreprise, qui, selon l’ABC, était essentiellement un fournisseur d’infrastructure back-end. Latitude dit que les pirates ont ensuite obtenu les informations de connexion d’un employé de Latitude.
Ces informations d’identification ont ensuite été utilisées pour voler les dossiers des clients et les permis de conduire de deux des fournisseurs de services de Latitude.
La société n’a pas précisé ce qu’elle entend par fournisseurs de services, mais il y a des spéculations selon lesquelles il s’agit de partenaires d’hébergement de données ou de courtiers qui revendent les produits du prêteur.
Le professeur agrégé de l’Institut pour la cybersécurité de l’UNSW, Rob Nicholls, a déclaré qu’il y avait peu de clarté jusqu’à présent sur le type d’informations volées par les pirates de Latitude.
“Ce que nous ne savons pas, c’est à quel point ces dossiers clients sont détaillés. S’agit-il simplement d’un nom, d’une adresse et d’un numéro de téléphone ? Ou est-ce un nom, une adresse de carte de crédit ? Un numéro, une cote de crédit ?”
L’universitaire pense qu’il s’agit de l’un des premiers exemples majeurs, du moins connus publiquement, d’une société de services financiers en Australie ciblée par des cybercriminels.
Il a déclaré que les attaques contre le système financier étaient particulièrement inquiétantes en raison du type d’informations détaillées que le secteur détenait.
“Il existe un risque que les informations de carte de crédit, combinées aux informations personnalisées, puissent permettre une fraude par carte de crédit à très grande échelle en très peu de temps”, a-t-il déclaré.
“Si je suis un cybercriminel et que j’ai obtenu le numéro de carte de crédit hier, je vais probablement essayer de maximiser cette carte d’ici aujourd’hui.”
Le professeur agrégé Nicholls a déclaré que cela n’avait pas vraiment d’importance si la violation provenait des systèmes de Latitude ou des fournisseurs de services qui se trouvent le long de sa chaîne d’approvisionnement.
“Avoir une certaine cybersécurité dans votre chaîne d’approvisionnement n’est en fait qu’une partie de la conduite des affaires”, a-t-il déclaré.
“Et dans le secteur des services financiers, c’est un élément essentiel de la conduite des affaires.”
Latitude décrit l’attaque contre ses systèmes comme “sophistiquée” et “malveillante”.
Des clients comme Mme Randall veulent plus d’informations de la part de l’entreprise sur ce qu’elle faisait pour protéger ses données.
“Nous avons ces entreprises qui nous disent : nous sommes victimes de cette cyber-attaque”, dit-elle.
“Mais étant donné le nombre d’attaques au cours des deux derniers mois et le fait que j’ai été personnellement touché par trois attaques distinctes en six ou sept mois, cela me fait vraiment me demander : ces cybercriminels sophistiqués lancent-ils ces attaques ?
« Ou est-ce simplement que ces entreprises investissent si peu dans la cybersécurité ? »
Chargement du formulaire…