Le géant coréen des smartphones et de la télévision, Samsung, a perdu une quantité inconnue de données relatives à un nombre inconnu de clients et a gardé le silence pendant près d’un mois.
Alors, qu’est-ce-qu’il s’est passé? Qui a été touché ? Et les utilisateurs de Samsung sont-ils en sécurité ?
Que s’est-il passé lors de la violation de données Samsung ?
La réponse courte est que Samsung ne sait pas comment la violation de données s’est produite – ou du moins, il n’est pas dit dans le 2 septembre communiqué de pressequi indique simplement que « Fin juillet 2022, un tiers non autorisé a acquis des informations de certains des systèmes américains de Samsung ».
La déclaration continue :
« Nous voulons assurer à nos clients que le problème n’a pas eu d’impact sur les numéros de sécurité sociale ou les numéros de cartes de crédit et de débit, mais dans certains cas, il peut avoir affecté des informations telles que le nom, les coordonnées et les informations démographiques, la date de naissance et les informations d’enregistrement du produit. Les informations concernées pour chaque client concerné peuvent varier. »
Les coordonnées comprennent probablement l’adresse du domicile, le numéro de téléphone et l’adresse e-mail. Les informations supplémentaires collectées lors de l’enregistrement du produit incluent le sexe, les données de géolocalisation précises, l’identifiant du profil du compte Samsung, le nom d’utilisateur, etc. Même votre adresse e-mail peut être précieuse pour les criminels.
L’assurance sans enthousiasme de Samsung peut consoler certains clients que les criminels n’utilisent pas les détails de leur carte de crédit pour, par exemple, acheter une crypto-monnaie introuvable. Cependant, la quantité d’informations que l’entreprise admet avoir été prise est stupéfiante, et pas quelque chose d’aussi facile à faire passer pour immatériel.
Avec ce niveau de détail, il devrait être relativement simple pour les attaquants de construire des attaques de précision par hameçonnage, de concevoir des échanges de cartes SIM et de contracter des crédits et des prêts au nom d’une victime.
C’est peut-être pourquoi le communiqué de Samsung prend soin de noter que, bien qu’il n’offre pas de surveillance gratuite du crédit aux victimes, « vous avez droit, en vertu de la loi américaine, à un rapport de crédit gratuit par an de chacune des trois principales agences nationales d’évaluation du crédit ».
Samsung a découvert la faille le 4 août 2022 et a publié ces informations limitées 30 jours plus tard. La législation sur la divulgation des violations de données varie à travers les États-Unis, mais il est courant que la notification d’une telle violation soit faite aussi rapidement que possible et sans délai déraisonnable. Le délai maximal autorisé pour la divulgation est compris entre 30 jours (Colorado, Floride) et 90 jours (Connecticut). En retardant la divulgation aussi longtemps, Samsung pourrait se mettre en danger.
Qui a été touché par la violation de données de Samsung ?
Quant à savoir qui a été touché, Samsung ne donne même pas de chiffres approximatifs. Il peut s’agir de tous les clients qui ont déjà possédé un appareil Samsung, ou il peut s’agir d’une simple poignée. Nous ne savons pas encore. Samsung a tenté de rassurer les utilisateurs concernés en disant :
« Nous apprécions la confiance de nos clients et, si nous déterminons grâce à notre enquête que l’incident nécessite une notification supplémentaire, nous vous contacterons en conséquence. »
Police androïde rapporte que, plus tôt cette année, le groupe de piratage, Lapsus$, a affirmé avoir exfiltré 190 Go de données sensibles de Samsung, y compris des algorithmes pour toutes les opérations de déverrouillage biométrique, le code source du chargeur de démarrage pour les nouveaux produits Samsung et tout le code source derrière le processus d’autorisation et d’authentification des comptes Samsung.
Que peux-tu y faire?
D’accord, alors que pouvez-vous réellement faire à propos de cette violation ? Avec ce niveau d’information révélé, vous devriez engager un service de surveillance du crédit pour garder un œil sur toute nouvelle demande de carte ou de prêt en votre nom. Mieux encore, gelez votre crédit jusqu’à ce que vous soyez sûr d’être en sécurité. C’est probablement une bonne idée de changer votre numéro de téléphone, aussi.
Et si vous êtes inquiet et que vous souhaitez être rassuré ou obtenir des conseils supplémentaires, contactez directement Samsung. Vous pouvez également exprimer votre mécontentement, de sorte que, si quelque chose comme cela se reproduit, ils ne traitent pas vos informations d’une manière apparemment négligente.
