Les noms, numéros d’assurance sociale et adresses personnelles des clients faisaient partie d’une violation de données dans l’une des plus grandes sociétés d’investissement du Canada.
La société torontoise Mackenzie Investments a confirmé mercredi à CTV News Toronto qu’un fournisseur tiers, InvestorCOM Inc., avait été compromis par un incident de cybersécurité lié au fournisseur de transfert de données GoAnywhere.
Selon une lettre datée du 27 avril qui a été envoyée à un client et obtenue par CTV News Toronto, InvestorCOM a informé Mackenzie de l’incident le 28 mars. La lettre a été signée par le président et chef de la direction de Mackenzie, Luke Gould.
Le numéro de compte, le nom, l’adresse et le numéro d’assurance sociale du client de Mackenzie qui a reçu la lettre la semaine dernière faisaient partie de la violation de données.
“Pour plus de clarté, les informations financières, telles que les avoirs des clients et les soldes des comptes, n’ont pas été exposées lors de l’incident. Il est également important de noter que les avoirs des investisseurs dans les fonds Mackenzie n’ont pas été touchés et que nos systèmes n’ont pas été compromis », indique la lettre.
Les pirates ont profité d’une vulnérabilité zero-day dans le système de transfert de fichiers de GoAnywhere et ont accédé aux données des clients fin janvier, selon la société.
Des organisations du monde entier ont été touchées par l’attaque de ransomware, notamment Proctor and Gamble, Rubrik et la ville de Toronto.
«Après avoir reçu un avis d’InvestorCOM, nous avons pris des mesures immédiates pour commencer une enquête médico-légale complète. Grâce à notre enquête, nous avons récemment découvert que certaines informations personnelles d’investisseurs actuels et d’anciens investisseurs faisaient partie de cet incident », a déclaré mercredi un porte-parole de Mackenzie dans un communiqué.
Le porte-parole a déclaré qu’il n’y avait aucune preuve d’utilisation abusive des données à ce stade et que la société avait signalé l’incident au commissaire fédéral à la protection de la vie privée, en plus des commissions provinciales de la protection de la vie privée.
En réponse, Mackenzie a déclaré qu’il offrait aux clients concernés des alertes de surveillance du crédit, des services de protection contre le vol d’identité, une assistance aux victimes de fraude et une assurance contre le vol d’identité.
« Mackenzie prend la confidentialité et la protection des données très au sérieux et nous nous engageons à protéger la confidentialité de toutes les informations personnelles. Nous regrettons vivement toute inquiétude ou inconvénient que cet incident pourrait causer à nos précieux clients », a déclaré un porte-parole de la société.
