TalkTalk atteint une amende record pour violation de données
L'entreprise a été condamnée à payer 400 000 £ pour des failles de sécurité qui ont conduit au vol de 150 000 coordonnées de clients
- TalkTalk atteint une amende record pour violation de données
- TalkTalk atteint une amende record pour violation de données
LEON NEAL/AFP/Getty Images
Le piratage TalkTalk coûtera 35 millions de livres sterling - mais ne réduira pas les bénéfices
11 novembre
Le directeur général de TalkTalk s'attend à ce que la facture totale à la suite de sa récente cyberattaque s'élève à 35 millions de livres sterling, mais ne pense pas que cela affectera sa projection de bénéfices pour cette année dans son ensemble.
Dido Harding a dit au BBC le total des coûts ponctuels se situerait entre 30 et 35 millions de livres sterling. Cela couvre « la réponse à l'incident, les appels incrémentiels vers nos centres d'appels, évidemment les coûts informatiques et technologiques supplémentaires, puis le fait qu'au cours des trois dernières semaines jusqu'à hier, nos sites de vente en ligne ont été en panne, il y aura donc des pertes revenus en conséquence ».
La facture est bien inférieure à ce qui était prévu – et reflète les récents messages de l'entreprise selon lesquels l'ampleur de la violation de données était moins grave qu'on ne le craignait initialement. Après avoir émis un avertissement le lendemain de l'attaque selon lequel les quatre millions de ses clients pourraient être touchés et que les informations financières sont en danger, il est depuis apparu que 157 000 comptes ont été consultés et que seules des informations financières incomplètes ont été obtenues.
TalkTalk a continué d'avertir les clients qu'ils devaient être vigilants contre les soi-disant « escroqueries par hameçonnage » - des fraudeurs utilisant des informations personnelles pour amener les individus à donner leurs coordonnées bancaires. Il a également offert à tous les clients une mise à niveau gratuite pour compenser « l'incertitude », une réponse aux critiques après avoir refusé de renoncer aux frais de sortie anticipée pour les clients qui n'ont pas perdu d'argent à la suite de l'incident.
Le message sur les coûts est venu alors que la société a déclaré qu'elle prévoyait toujours d'atteindre son objectif de bénéfice annuel de 300 millions de livres sterling – et a en fait augmenté son dividende de 15p à 5,29p par action, Le Guardian rapporte . L'action de TalkTalk avait augmenté de 12% mercredi en milieu d'après-midi à 243,5p, bien que cela reste inférieur aux 290p auxquels il s'échangeait avant que le piratage ne soit exposé.
Frais américains
Ailleurs, trois hommes ont été inculpés dans le cadre de la plus grande cyberattaque contre des sociétés financières de l'histoire des États-Unis, Les rapports indépendants . Les informations personnelles d'environ 100 millions de personnes ont été consultées entre 2012 et cet été, avec des données telles que les noms, adresses, e-mails et numéros de téléphone de plus de 83 millions de clients de la banque américaine JPMorgan Chase obtenus au cours de l'été 2014 seulement.
Gery Shalon, 31 ans, de Savyon, Israël, était inculpé dans l'acte d'accusation à New York ; Ziv Orenstein, 40 ans, de Bat Hefer, Israël et Joshua Samuel Aaron, 31 ans, un citoyen américain vivant à Moscou et à Tel Aviv, Israël.
Les hommes « auraient manipulé les cours des actions en vendant des actions de sociétés à des personnes dont ils avaient volé les coordonnées, avant de se débarrasser de leurs propres actions et de faire chuter les cours », selon The Independent. Ils ont également été accusés d'avoir dirigé une entreprise de traitement de paiements illégale qui a collecté 18 millions de dollars (11,9 millions de livres sterling) de frais.
Les investisseurs de TalkTalk applaudissent les derniers détails de piratage
06 novembre
Après avoir initialement informé que chacun de ses quatre millions de comptes peut avoir été consulté, TalkTalk a essayé de rassurer ses clients et investisseurs sur l'ampleur de sa récente violation de données.
La semaine dernière, la société a déclaré que la cyberattaque avait été beaucoup moins grave qu'on ne le craignait au départ. Aujourd'hui, il a publié des informations sur son site Web affirmant que seulement 157 000 des détails de ses clients ont été consultés. Cela signifie que seulement quatre pour cent des utilisateurs sont exposés à un risque de fraude – et il maintient qu'aucun n'est exposé à un risque de fraude directe concernant l'utilisation de leurs cartes bancaires ou de crédit à leur insu.
Dans une mise à jour sur son site Web, TalkTalk a spécifiquement révélé que 156 959 clients avaient consulté des informations personnelles, le BBC rapports. Parmi ceux-ci, 15 656 numéros de compte bancaire et codes de tri ont été volés, bien que ce ne soit généralement pas une information suffisante pour acheter des marchandises et qu'il s'agisse de la même information que celle imprimée sur n'importe quel chèque.
Les pirates ont acquis les numéros de carte de crédit et de débit de 28 000 clients, le Le télégraphe du jour ajoute, mais ceux-ci auraient été « obscurcis » et « orphelins » des comptes auxquels ils se rapportent et donc « ne peuvent pas être utilisés pour des transactions financières ».
La société a souligné que deux millions de données personnelles et de compte avaient été consultées au total et que les clients devaient rester vigilants contre les tentatives d'extraction de données supplémentaires via 'les escroqueries par phishing' . C'est lorsqu'un escroc établit un contact non sollicité se faisant passer pour une entreprise utilisant des données personnelles, dans le but d'extraire des informations bancaires ou d'autres informations financières.
Le directeur général de TalkTalk, Dido Harding, a défendu la décision de mettre en garde contre une violation potentiellement plus grave, bien que cela ait provoqué une vente massive de ses actions qui a essuyé un quart de sa valeur marchande. Elle a déclaré qu'il avait 'la responsabilité d'avertir les clients avant d'avoir la clarté que nous sommes enfin en mesure de donner aujourd'hui'.
Les actions ont augmenté de 2,6% à 226,5p.
La police a annoncé qu'une quatrième personne arrêtée en lien avec le piratage avait été arrêtée et libérée sous caution. Trois des quatre sont des adolescents âgés de 15 à 16 ans, ce qui, selon le Telegraph, soulève 'des questions sur le niveau des mesures de sécurité de TalkTalk'.
Hack TalkTalk : un autre adolescent arrêté pour une attaque
30 octobre
Un deuxième adolescent a été arrêté dans le cadre du piratage de l'opérateur mobile TalkTalk, qui a révélé les détails personnels et financiers de quatre millions de clients et qui aurait été à l'origine l'œuvre de « cyber-jihadistes » basés en Russie.
Un garçon de 16 ans a été arrêté pour suspicion d'infractions à la Computer Misuse Act à Feltham, dans l'ouest de Londres et plus tard libéré sous caution, le BBC rapports. Cette évolution fait suite à l'arrestation plus tôt cette semaine d'un adolescent de 15 ans en Irlande du Nord pour des infractions similaires.
La police a également perquisitionné une adresse résidentielle à Liverpool. L'unité de cybercriminalité de la police métropolitaine travaille avec des agents en Irlande du Nord et la National Crime Agency, l'équivalent britannique du FBI, Le gardien ajoute.
La nouvelle de la cyberattaque est apparue pour la première fois mercredi dernier, lorsque le directeur général de TalkTalk, Dido Harding, a averti qu'il était possible que tous ses quatre millions de titulaires de compte soient touchés et que des informations financières aient été consultées.
Elle a depuis déclaré que la violation était moins grave que prévu et que les données financières volées étaient insuffisantes pour voler de l'argent aux clients.
Des arguments sont en cours au sujet des exonérations des frais de sortie pour les clients cherchant à quitter le réseau, ce qui a été lié à trois violations de données apparentes au cours de la dernière année. Il a déclaré qu'il ne renoncerait aux accusations que lorsqu'il est prouvé qu'un vol a eu lieu.
Ailleurs, des députés doivent ouvrir une enquête sur la cyberattaque, selon la BBC.
Le ministre de la Culture, Ed Vaizey, a indiqué que le gouvernement n'était pas contre le cryptage obligatoire pour les entreprises détenant les données des clients. Les données financières de TalkTalk n'étaient que partiellement cryptées avant l'attaque.
Hack TalkTalk : était-ce juste un garçon de 15 ans après tout ?
27 octobre
La cyberattaque TalkTalk, qui a touché quatre millions de clients et fait plonger les actions de l'entreprise ces derniers jours, est peut-être l'œuvre d'un garçon de 15 ans originaire d'Irlande du Nord.
le BBC rapporte que l'adolescent a été arrêté lundi pour suspicion d'infractions à la Computer Misuse Act. Selon une annonce de Scotland Yard, qui coordonne une enquête conjointe impliquant l'unité de cybercriminalité de la police métropolitaine et le service de police d'Irlande du Nord (PSNI), une maison a également été perquisitionnée dans le comté d'Antrim.
Les recherches se poursuivent et le garçon est interrogé par des détectives du PSNI.
S'il s'avère qu'il s'agit d'une farce élaborée par l'un des membres d'une génération d'enfants appelés familièrement « cyber-natifs », ce sera un soulagement pour l'entreprise et ses clients. Les investisseurs étaient certainement rassurés, avec des actions en hausse de plus de neuf pour cent ce matin après de récentes chutes abruptes.
Mais des questions persisteront sur la sécurité des systèmes de l'entreprise lorsqu'un enfant a pu les infiltrer à partir d'un ordinateur personnel.
Demandes d'indemnisation
La nouvelle survient alors que TalkTalk continue de faire l'objet de critiques de la part des clients qui souhaitent se retirer après la récente faille de sécurité, qui est la troisième à laquelle l'entreprise a été exposée au cours de l'année écoulée (voir ci-dessous).
Les plaintes, en particulier, se multiplient contre le refus de TalkTalk d'offrir des exonérations aux frais de sortie pour les clients qui souhaitent partir avant la fin de leur contrat. Le télégraphe quotidien note que TalkTalk devra permettre aux gens de sortir sans frais s'il est reconnu coupable de négligence, mais jusque-là, la société dit qu'elle ne renoncera pas aux frais à moins qu'un client n'ait été victime d'un vol lié à la violation.
Ce week-end, le directeur général de TalkTalk, Dido Harding, a insisté sur le fait que cela était peu probable, déclarant aux intervieweurs que le piratage était moins grave qu'on ne le pensait auparavant. Cela a affecté le site Web de l'entreprise plutôt que les réseaux centraux, les informations de carte de crédit n'ont pas été saisies dans leur intégralité et les informations bancaires accessibles sont jugées insuffisantes à elles seules pour permettre l'accès aux comptes.
La violation de TalkTalk fait actuellement l'objet d'une enquête par le bureau du commissaire à l'information, qui a le pouvoir d'infliger de modestes amendes pouvant aller jusqu'à 500 000 £, Le gardien Remarques. Il est également en cours d'examen par l'Ofcom.
Hack TalkTalk : qui est à blâmer et que faire pour vous protéger
26 octobre
TalkTalk a subi un troisième problème de sécurité en ligne en moins d'un an après qu'une violation majeure des données a mis en danger les coordonnées personnelles et bancaires de millions de clients. La société a finalement reçu une demande de rançon de la part des coupables présumés – mais a maintenu que les comptes bancaires des clients sont sécurisés et ripostent aux critiques. Voici tout ce que vous devez savoir.
Que s'est-il passé?
Mercredi, les serveurs de l'opérateur mobile ont fait l'objet d'une 'attaque externe soutenue', Reuters rapports. La société a publié jeudi soir une déclaration avertissant les clients que leurs données personnelles telles que 'noms, adresses, date de naissance, numéros de téléphone [et] adresses e-mail' pouvaient avoir été consultées, ainsi que 'coordonnées de carte de crédit et/ou coordonnées bancaires'. '.
Suis-je en danger ?
Si vous êtes un client TalkTalk, potentiellement. La société a déclaré que la violation pourrait affecter l'ensemble de ses quatre millions d'utilisateurs.
A quoi dois-je faire attention ?
TalkTalk a déclaré que vous devriez « garder un œil sur vos comptes au cours des prochains mois » et signaler tout élément suspect à votre banque ou Fraude à l'action , Le gardien Remarques. Contrairement à une violation de données en ligne à Entrepôt de Carphone en août, qui a également affecté certains clients TalkTalk, « toutes » les coordonnées bancaires auxquelles ils ont pu accéder n'ont pas été cryptées.
Les informations personnelles peuvent également être utilisées pour frauder des personnes. Entre décembre 2014 et février 2015, des centaines de clients TalkTalk ont signalé qu'ils recevaient des appels non sollicités prétendant provenir de l'entreprise. Les appels citaient des informations personnelles et de compte dans le but de les persuader de révéler leurs coordonnées bancaires. Un client a déclaré au Guardian qu'il avait perdu 2 815 £ sur son compte.
Certains clients ont déjà signalé avoir reçu des appels d'escrocs potentiels après l'attaque. Les experts conseillent que si vous recevez un appel d'une personne prétendant être de TalkTalk, ne divulguez aucune information financière. La société a déclaré qu'elle n'appellerait jamais les clients pour leur demander des coordonnées bancaires et qu'il n'y a aucune raison pour qu'elle vous demande de telles informations, à moins que vous ne créiez un nouveau compte.
Qui est derrière l'attaque ?
L'ancien détective de la cybercriminalité de Scotland Yard, Adrian Culley, a déclaré au BBC ce matin qu'un 'groupe de cyber-jihadistes' basé en Russie se faisant appeler 'TalkTalk Hackers' avait publié ce qui semble être des informations sur des clients dans le but de revendiquer la responsabilité de l'attaque. S'il s'agissait d'un tel groupe, il est plus probable qu'ils essaieront d'extorquer une rançon à l'entreprise que de frauder des clients individuels.
En effet, la société confirmé plus tard il avait reçu une demande de rançon. Le risque pour les clients est que si l'entreprise ne paie pas et que le groupe n'est pas attrapé, elle peut recourir à la publication des détails ou les utiliser pour voler de l'argent directement.
Culley a averti que 'ce n'est pas parce qu'un groupe prétend être derrière l'attaque que cela est vrai'.
Qu'a fait TalkTalk ?
Culley dit que la réponse de l'entreprise a été « exemplaire ». TalkTalk a impliqué la police et informé les clients à un stade précoce – bien plus tôt, en fait, que Carphone Warehouse ne l'a fait après la dernière attaque en août. La société a fermé l'accès « Mon compte » au site Web.
Sa sécurité était-elle laxiste ?
C'est ce qu'un chercheur en informatique a déclaré à la presse. Il dit avoir fait part de ses inquiétudes au bureau du directeur général Dido Harding l'année dernière, mais que cela n'a clairement pas abouti à une action adéquate.
Harding a riposté, affirmant que la sécurité de TalkTalk s'était considérablement améliorée au cours de l'année écoulée et qu'il était 'la tête et les épaules au-dessus' de certains concurrents et critiques. Elle a ajouté que les coordonnées bancaires non cryptées ne permettraient pas l'accès aux comptes car les longs numéros de carte nécessaires pour effectuer les paiements étaient au moins partiellement masqués.
Comment TalkTalk est-il affecté ?
Certains clients sont très mécontents que l'entreprise, décrite comme l'un des plus petits opérateurs mobiles, ait subi une autre violation de données. TalkTalk n'a peut-être pas été directement ciblé dans la violation d'août – et n'a pas accepté la responsabilité des problèmes signalés plus tôt dans l'année – mais pour nombre de ses clients, la cyberattaque de mercredi peut être une raison de passer à un rival plus grand.
Un client, Malcolm Hepple, a déclaré à la BBC: «À quoi bon TalkTalk demande aux clients de changer leurs mots de passe s'ils sont si incompétents qu'ils autorisent trois failles de sécurité au cours de la dernière année et deux au cours des deux derniers mois. Je vais passer à un autre abonné dès que possible.
Les investisseurs s'inquiètent clairement de la façon dont cela pourrait se dérouler, car les actions ont perdu 4,4% vendredi et elles ont encore perdu 9% en début de séance ce matin.
TalkTalk est-elle la seule entreprise à avoir été la cible d'attaques en ligne ?
Loin de là. Plus tôt ce mois-ci, il est apparu que T-Mobile aux États-Unis avait subi une violation de sécurité majeure. L'opérateur mobile fait partie d'un nombre croissant d'entreprises de l'autre côté de l'Atlantique à être touchées par des cyberattaques. Les entreprises qui ont été ciblées ces dernières années comprennent – notoirement – le site Web sur l'adultère Ashley Madison, ainsi que Sony Pictures et des détaillants tels que Home Depot, Target et eBay.
Même cette dernière violation peut ne pas se limiter à TalkTalk. Le rédacteur en chef de la BBC, Kamal Ahmed, a déclaré qu'il y avait eu une 'augmentation significative' du nombre d'entreprises signalant des attaques mercredi, le jour où TalkTalk a été infiltré. 'Certains semblent être liés à l'extorsion, avec des rançons demandées en Bitcoins.'
