AT&T découvre une violation de données vieille de cinq ans affectant des millions de personnes

AT&T met en garde des millions de clients actuels et anciens contre une violation de données qui s'est apparemment produite il y a cinq ans.

Dans un communiqué publié ce week-end, AT&T a déclaré avoir trouvé le mois dernier des informations sur ses clients sur le soi-disant « Web sombre » qui semblaient provenir d'une base de données remontant à 2019.

AT&T a déclaré qu'un examen des données divulguées a montré qu'elles semblaient dater de 2019 et concernaient environ 7,6 millions de clients actuels et plus de 65 millions d'anciens clients.

La société a affirmé que les données contenues dans les fichiers divulgués comprenaient des numéros de sécurité sociale et d'autres informations personnelles ; séparément, les responsables d'AT&T ont déclaré que certains mots de passe avaient également été divulgués dans l'ensemble de données.

AT&T a déclaré avoir enquêté sur la manière dont les données avaient été divulguées sur Internet, affirmant qu'il n'y avait aucune preuve « d'un accès non autorisé à ses systèmes entraînant une exfiltration de l'ensemble de données ». L'entreprise a suggéré qu'un fournisseur aurait pu être impliqué dans un incident de sécurité.

"A ce jour, cet incident n'a pas eu d'impact matériel sur les opérations d'AT&T", a déclaré AT&T.

Grande échelle, gros problèmes

AT&T est le plus grand fournisseur de téléphonie sans fil aux États-Unis, servant plus de 87 millions de clients de téléphonie postpayée et 19 millions de clients prépayés, selon les rapports financiers de la société.

Au total, AT&T connecte plus de 242 millions d'appareils à travers le pays, notamment des points d'accès mobiles, des tablettes, des ordinateurs portables 5G et certains équipements des forces de l'ordre exploités via FirstNet.

Être un grand fournisseur de services sans fil présente certains inconvénients, le principal étant que lorsque quelque chose ne va pas, cela a tendance à affecter de nombreuses personnes.

Ce fut le cas en février lorsqu'une panne de plusieurs heures affectant le réseau AT&T a empêché des millions de clients d'utiliser leur téléphone pour passer des appels et accéder à l'Internet sans fil.

AT&T a offert un crédit de 5 $ à certains clients concernés ; la Commission fédérale des communications (FCC) a ouvert une enquête sur l'incident.

La violation de données révélée samedi n'est pas le premier incident de sécurité à affecter AT&T : il y a deux ans, l'entreprise a fait la une des journaux après la fuite sur le dark web d'une mine de données liées à 70 millions de clients actuels et anciens.

En 2010, des chercheurs en sécurité ont souligné une faille dans la manière dont AT&T stockait certaines informations relatives à ses clients iPad, ce qui permettait à certaines données utilisateur d'être accessibles sur Internet ouvert.

Et en 2001, une violation de données affectant AT&T et Verizon a fait l'objet d'une enquête après avoir découvert que certaines informations client étaient échangées dans des forums de discussion clandestins.

AT&T n'est pas le seul à être confronté à des problèmes de sécurité : le fournisseur de téléphonie rival T-Mobile a récolté son lot d'informations sur des pratiques de sécurité médiocres permettant aux pirates de compromettre leurs serveurs.

L'année dernière, au moins deux incidents de sécurité distincts chez T-Mobile ont permis à des personnes non autorisées d'accéder aux informations client, et un « problème système » en septembre dernier a permis aux clients de voir les informations de compte pour des lignes qui n'étaient pas les leurs.

Verizon a également connu diverses violations de données, dont une l'année dernière qui a vu une fuite de données internes d'employés après qu'un membre du personnel anonyme a obtenu un accès non autorisé à leurs dossiers, selon un rapport.

Que faire si vos données sont compromises

Tout d’abord, recherchez un message de votre fournisseur de services contenant des informations sur la violation de données et des conseils sur les mesures à prendre.

Certaines violations de données impliquent des informations personnelles telles que les numéros de permis de conduire, les numéros de sécurité sociale, les adresses personnelles et les dates de naissance, tandis que d'autres impliquent des noms d'utilisateur et des mots de passe, et certaines impliquent un mélange des deux.

Si vos informations personnelles ont été compromises, c'est généralement une bonne idée de profiter des ressources gratuites de surveillance du crédit proposées par votre fournisseur de services.

Dans certains États, les prestataires de services sont tenus de proposer des ressources de base gratuites en matière de surveillance du crédit pendant une certaine période, généralement un ou deux ans.

La loi fédérale exige également que les agences de surveillance du crédit vous fournissent un rapport de crédit complet et gratuit par an, répertoriant toute tentative d'ouverture de nouveaux comptes de crédit à votre nom.

Pour les violations de données impliquant des noms d'utilisateur et des mots de passe, c'est toujours une bonne idée de faire l'inventaire de vos noms d'utilisateur et mots de passe et de modifier ceux qui pourraient être affectés.

Changer les informations d'identification de tout compte qui utilise un mot de passe commun est également une bonne idée, surtout si vous êtes quelqu'un qui les réutilise (ce qui, selon les experts en sécurité, n'est pas une bonne idée).

La création d'un nouveau mot de passe difficile à deviner peut entraîner le fardeau supplémentaire d'être difficile à retenir ; Heureusement, il existe de nombreux gestionnaires de mots de passe efficaces (et parfois gratuits !) qui peuvent vous aider à garder le contrôle de nombreux comptes à partir d'un emplacement central.

Enfin, si vous avez subi une perte financière en raison d'une violation de données, vous pouvez disposer de certains recours en vertu de la loi nationale ou fédérale.

Certaines lois nationales sur la protection de la vie privée des consommateurs autorisent les clients à poursuivre une entreprise en justice si leurs données ont été mal gérées d'une manière ou d'une autre. Par exemple, si leur nom d'utilisateur et leur mot de passe étaient stockés sur un serveur qui n'était ni verrouillé ni crypté.

En Californie, une loi récemment adoptée sur la protection de la vie privée des consommateurs permet aux particuliers de poursuivre une entreprise si leurs informations ont été compromises, mais uniquement si ces informations ont été stockées de manière non cryptée et non expurgée.

Si vous envisagez de suivre cette voie, consulter un avocat local est toujours une bonne idée.

Avez-vous des idées à ce sujet ? Écrivez-nous ci-dessous dans les commentaires ou portez la discussion sur notre Twitter ou Facebook.

Recommandations des rédacteurs :

• Comcast touché par une énorme fuite de données : tout ce que vous devez savoir
• 23andMe exhorte les utilisateurs à changer leurs mots de passe après une violation majeure de données
• Une violation de données sur Twitter expose des millions d'adresses e-mail
• Le meilleur gestionnaire de mots de passe pour Chrome (2024)