On dit que le Web sombre est un marché valant des centaines de milliards de dollars. Et maintenant, si vous avez demandé une carte de crédit Capital One et que vous êtes l’un des 100 millions de personnes dont les informations de compte viennent d’être piratées, vos informations personnelles pourraient se trouver sur le Web sombre et se vendre moins cher que le prix de votre paiement automobile mensuel. .
Voici ce que nous savons à ce jour et comment protéger vos données après cette violation - et la suivante.
Qu'est-ce que le Capital One Hack?
Le piratage de Capital One aurait été commis par Paige Thompson, une résidente de Seattle âgée de 33 ans. Elle est accusée de "fraude informatique et d'abus" et aura une audience le 1er août. Les faits, selon la banque:
- Thompson a eu accès à 140 000 numéros de sécurité sociale, à 1 million de numéros d’assurance sociale au Canada et à 80 000 numéros de comptes bancaires.
- Elle avait également accès à un nombre non divulgué de noms, adresses, cotes de crédit, limites de crédit, soldes et autres informations.
- Thompson a exploité des fragments de données de transaction sur un total de 23 jours à partir de 2016-18.
- Les attaques ont peut-être inclus des clients ayant demandé ces cartes dès 2005.
La vulnérabilité du système qui permettait le piratage a été rendue publique en avril, mais ce n'est qu'en juillet, après avoir été alerté par un chercheur externe, que Capital One a remarqué et a commencé à réagir.
Capital One s'attend à ce que l'incident génère «des coûts supplémentaires d'environ 100 à 150 millions de dollars en 2019», selon la société. "Les coûts attendus sont largement déterminés par les notifications des clients, la surveillance du crédit, les coûts technologiques et l'assistance juridique."
Ceci est le dernier d'une série apparemment interminable de piratages, notamment les piratages Marriott, Equifax et Sony, qui résultent en grande partie du fait que des entreprises ne protègent pas correctement les informations des citoyens. La destination de ces informations varie, de la Russie à la Corée du Nord, en passant par des endroits inconnus.
Qu'en est-il de la capitale One Data qui a été perdue?
La toile sombre est le monde de l'underground criminel, où les données sont achetées et vendues par des acteurs criminels - y compris les États-nations - et utilisées pour financer des activités néfastes. Une étude réalisée en 2019 par l'Université de Surrey a révélé que le nombre de sites Web sombres pouvant nuire à une entreprise avait augmenté de 20% depuis 2016.
Mais le Web sombre est également un marché pour acheter et vendre des numéros de carte de crédit, des armes à feu, des identifiants d’abonnement volés, les mots de passe des comptes Netflix, etc. Un compte premium «à vie» Netflix coûte 6 USD, mais vous pouvez également engager quelqu'un pour pénétrer dans l'ordinateur de quelqu'un. Le ciel est la limite.
Et pour l’instant, il est raisonnable de supposer que les informations personnelles volées et les numéros de sécurité sociale des candidats à Capital One sont également visibles sur le Web sombre, du moins jusqu’à preuve du contraire.
Pourquoi nos informations ont-elles été volées? Où est-il allé?
"Je suis profondément désolé de ce qui s'est passé", a déclaré Richard Fairbank, PDG de Capital One, dans un communiqué de presse de Capital One. "Je m'excuse sincèrement pour l'inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m'engage à y remédier."
Les experts en cybersécurité n'écoutent pas les lèvres. «N'avons-nous rien appris d'Equifax?», Demande Bob Sullivan, animateur du podcast Breach. «La déclaration de la société utilise un langage absurdement tordu:« Aucun numéro de sécurité sociale n'a été compromis… sauf 140 000 numéros de sécurité sociale ». Quand les entreprises vont-elles apprendre à être directes avec les gens lorsque de tels incidents se produisent? "
C'est là que réside le noeud du problème.
Nos données sont volées, vendues et achetées avec très peu de sensibilisation à la sécurité publique. Le problème est triple: les gens doivent apprendre à mieux se protéger, les gouvernements doivent apprendre à mieux protéger les citoyens et les entreprises doivent apprendre à mieux protéger les données des personnes.
La semaine dernière, la Federal Trade Commission (Commission fédérale du commerce) a conclu un accord avec Equifax portant sur le versement de 125 dollars américains aux citoyens américains touchés par l'attaque de 2017, pour un montant total de 425 millions de dollars en restitution. Cela devrait coûter à Equifax plus de 700 millions de dollars au total. Et les cyberattaques coûtent plus cher aux banques qu’à toute autre industrie: jusqu’à 1 000 milliards de dollars par an et à mesure que le nombre d’attaques augmente rapidement, par Accenture.
Pour lutter contre ces attaques, les entreprises doivent développer des systèmes de sécurité capables de résister aux attaques et d'y répondre rapidement. Cela signifie utiliser les dernières technologies pour détecter et éviter les piratages potentiels. Et cela commence par l'IA.
«Nous constatons notamment que de plus en plus de sociétés utilisent l'IA pour la cybersécurité», explique Ben Lamm, PDG de la société d'IA Hypergiant. «Nous devons accorder la priorité aux humains et veiller à protéger leur identité personnelle. Utiliser l'IA pour améliorer la sécurité des établissements bancaires est une étape naturelle. "
Au-delà des dommages punitifs, le gouvernement américain ne fait pas assez pour nous protéger non plus. Bien que les sénateurs Elizabeth Warren et Mark Warner se soient activement battus pour des changements législatifs généraux qui tiennent les entreprises responsables de la perte d’informations, le Congrès n’a pas joué la balle. Jusqu'à présent, peu de choses ont été faites pour protéger le public. Si le hack d'Equifax ne suffisait pas, le snafu de Capital One pourrait ne pas l'être non plus.
Que pouvez-vous faire pour vous protéger?
Selon Capital One, la société «notifiera les personnes concernées par divers moyens» et «offrira un suivi gratuit du crédit et une protection de l'identité à toutes les personnes concernées». Mais est-ce suffisant?
Si vous pensez avoir été affecté par le hack, suivez ces stratégies simples:
- Inscrivez-vous à des alertes textuelles ou électroniques pour suivre l'activité du compte.
- Surveillez vos cartes de crédit pour détecter toute activité inhabituelle ou suspecte.
- Appelez le numéro inscrit sur votre carte si vous remarquez quelque chose d'inhabituel.
- Signalez les courriels suspectés d'activité de phishing à l'équipe de sécurité de Capital One: . Ne répondez pas aux courriels suspects, supprimez-les après le transfert à Capital One et ne répondez pas aux appels téléphoniques suspects.
Voulez-vous continuer à vous battre? Appuyez sur vos membres du Congrès et les femmes au Congrès pour qu’ils fassent davantage pour protéger la confidentialité de vos données et exigent des réparations de la part des entreprises qui ne font pas assez pour assurer votre sécurité. En supposant que vos données soient déjà perdues, vous êtes dans une position de victime inutile; la perte de données n'est pas une conclusion perdue.
«En tant qu'individus, nous devrions apprendre une dure leçon et l'enseigner à nos enfants», déclare Amir Orad, PDG de SiSense, «Tout ce que vous stockez en ligne sera probablement piraté un jour, alors soyez intelligent et sélectif à ce sujet.
