Le géant coréen des smartphones et de la télévision, Samsung, a perdu une quantité inconnue de données relatives à un nombre inconnu de clients et a gardé le silence pendant près d'un mois.
Alors, qu'est-ce-qu'il s'est passé? Qui a été touché? Et les utilisateurs de Samsung sont-ils en sécurité?
Que s'est-il passé lors de la violation de données Samsung ?
La réponse courte est que Samsung ne sait pas comment la violation de données s'est produite - ou du moins, il n'est pas dit dans le 2 septembre communiqué de presse, qui indique simplement que "Fin juillet 2022, un tiers non autorisé a acquis des informations de certains des systèmes américains de Samsung".
La déclaration continue :
"Nous voulons assurer à nos clients que le problème n'a pas eu d'impact sur les numéros de sécurité sociale ou les numéros de cartes de crédit et de débit, mais dans certains cas, peuvent avoir affecté des informations telles que le nom, les coordonnées et les informations démographiques, la date de naissance et l'enregistrement du produit informations. Les informations concernées pour chaque client concerné peuvent varier."
Les coordonnées comprennent probablement l'adresse du domicile, le numéro de téléphone et l'adresse e-mail. Les informations supplémentaires collectées lors de l'enregistrement du produit incluent le sexe, les données de géolocalisation précises, l'identifiant du profil du compte Samsung, le nom d'utilisateur, etc. Même juste votre adresse e-mail peut être précieuse pour les criminels.
L'assurance sans enthousiasme de Samsung peut consoler certains clients que les criminels n'utilisent pas les détails de leur carte de crédit pour, par exemple, acheter une crypto-monnaie introuvable. Cependant, la quantité d'informations que l'entreprise admet peut ont été prises est stupéfiant, et pas quelque chose de si facile à faire passer pour immatériel.
Avec ce niveau de détail, il devrait être relativement simple pour les attaquants de construire une précision attaques de harponnage, concevoir des échanges de cartes SIM et contracter des crédits et des prêts au nom d'une victime.
C'est peut-être la raison pour laquelle le communiqué de Samsung prend soin de noter que, même s'il n'offre pas de surveillance gratuite du crédit aux victimes, "vous ont droit en vertu de la loi américaine à un rapport de solvabilité gratuit par an de chacun des trois principaux rapports de solvabilité à l'échelle nationale agences."
Samsung a découvert la faille le 4 août 2022 et a publié ces informations limitées 30 jours plus tard. La législation sur la divulgation des violations de données varie à travers les États-Unis, mais il est courant que la notification d'une telle violation soit faite aussi rapidement que possible et sans délai déraisonnable. Le délai maximal autorisé pour la divulgation est compris entre 30 jours (Colorado, Floride) et 90 jours (Connecticut). En retardant la divulgation aussi longtemps, Samsung pourrait se mettre en danger.
Qui a été touché par la violation de données de Samsung ?
Quant à savoir qui a été touché, Samsung ne donne même pas de chiffres approximatifs. Il peut s'agir de tous les clients qui ont déjà possédé un appareil Samsung, ou il peut s'agir d'une simple poignée. Nous ne savons pas encore. Samsung a tenté de rassurer les utilisateurs concernés en disant :
"Nous apprécions la confiance de nos clients et, si nous déterminons grâce à notre enquête que l'incident nécessite une notification supplémentaire, nous vous contacterons en conséquence."
Police androïde rapporte que, plus tôt cette année, le groupe de piratage, Lapsus$, a affirmé avoir exfiltré 190 Go de données sensibles de Samsung, y compris des algorithmes pour toutes les données biométriques opérations de déverrouillage, code source du chargeur de démarrage pour les nouveaux produits Samsung et tout le code source derrière le processus d'autorisation et d'authentification de Samsung comptes.
Que peux-tu y faire?
D'accord, alors que pouvez-vous réellement faire à propos de cette violation? Avec ce niveau d'information révélé, vous devriez engager un service de surveillance du crédit pour garder un œil sur toute nouvelle demande de carte ou de prêt en votre nom. Mieux encore, gelez votre crédit jusqu'à ce que vous soyez sûr d'être en sécurité. C'est probablement une bonne idée de changer votre numéro de téléphone, aussi.
Et si vous êtes inquiet et que vous souhaitez être rassuré ou obtenir des conseils supplémentaires, contactez directement Samsung. Vous pouvez également exprimer votre mécontentement, de sorte que, si quelque chose comme cela se reproduit, ils ne traitent pas vos informations d'une manière apparemment négligente.