Pourquoi mon émetteur de carte de crédit ne m'a-t-il pas appelé ?, Marketing & Advertising News, ET BrandEquity


Fuite de données de Domino: pourquoi la société de ma carte de crédit ne m'a-t-elle pas appelé?
Fuite de données de Domino: pourquoi la société de ma carte de crédit ne m'a-t-elle pas appelé?

Sandeep Goyal

Les médias ont été en effervescence au cours des 48 dernières heures sur la façon dont la marque de pizza Domino’s India semble avoir été victime d’une grave cyberattaque. Selon Alon Gal, co-fondateur d'un renseignement israélien sur la cybercriminalité, Under The Breach, les pirates ont accès à 13 To de données internes depuis les serveurs de Domino’s India. Cela, selon l'agence israélienne, comprend 180 000 000 de détails de commande contenant des noms, des numéros de téléphone, des e-mails, des adresses, des détails de paiement et un énorme 1 000 000 de cartes de crédit. Les détails des employés de plus de 250 employés de Domino dans des secteurs verticaux tels que l'informatique, le juridique, la finance, le marketing, les opérations, etc. sont également piratés.

Selon Alon Gal, les pirates visent à vendre l'intégralité des données à un seul acheteur. Les pirates recherchent 550 000 $ US (environ Rs 4 crore) pour l'ensemble de la base de données. Les pirates ont également l'intention de créer un portail de recherche pour permettre l'interrogation des données. La vente se déroule apparemment dans le dark web, sur un site Web fréquenté par des cyber-escrocs. La demande est sérieuse, et il pourrait très probablement y avoir plus d'un acheteur consentant, bien qu'à un prix beaucoup plus bas que celui actuellement annoncé.

Domino’s India, quant à lui, a nié que ses données utilisateur aient été compromises de quelque manière que ce soit. Dans un communiqué de presse, la société a déclaré: «Jubilant FoodWorks a récemment subi un incident de sécurité de l'information. Aucune donnée relative aux informations financières de quiconque n'a été consultée et l'incident n'a eu aucun impact opérationnel ou commercial. En tant que politique, nous ne stockons pas les détails financiers ou les données de carte de crédit de nos clients, donc aucune de ces informations n'a été compromise. Notre équipe d'experts enquête sur la question et nous avons pris les mesures nécessaires pour contenir l'incident. »

Rajshekhar Rajaharia, le célèbre chercheur en cybersécurité qui a alerté pour la première fois les utilisateurs sur une fuite de données volumineuses chez la société de paiement MobiKwik le mois dernier, a en partie corroboré le communiqué de presse de Domino lorsqu'il a tweeté: «Encore une fuite de données volumineuses! 20 Crore Order Details, y compris 13 TB de données de Domino's India prétendument fuites de #DominosIndia Server. Données Inclut le mobile, l'email, le nom, l'adresse du domicile, le type de paiement et les jetons de connexion sociale. Il semble que les données financières ne soient pas là. #infosec #GDPR ». La seule bonne nouvelle semblait la partie que «les données financières ne sont pas là».

Lire aussi: Le bloc «réglementation» de l’écrivain

Rajaharia est une autorité très respectée en matière de cyber-piratage en Inde… il affirme avoir alerté l’équipe d’intervention en cas d’urgence informatique du gouvernement indien (CERT-In) de la fuite de données du Domino en mars même. Rajaharia avait allégué une violation de données à MobiKwik en mars 2021 qui aurait affecté les données de 3,5 millions d'utilisateurs, exposant des documents de connaissance du client tels que des adresses, des numéros de téléphone, des cartes Aadhaar, des cartes PAN, etc. Rajaharia a estimé la taille de la violation de données à 8,2 To. MobiKwik a nié la violation. Fait intéressant, Rajaharia a eu une autre interprétation de tout l'épisode de piratage. Il a déclaré publiquement: «Il semble que le même hacker qui prétendait avoir piraté #Mobikwik avait accès à # Domino depuis février 2021. J'avais alerté le CERT-IN le 5 mars 2021 à ce sujet. Plus tard, le premier Hacker a vendu l'accès au serveur à un autre revendeur. Maintenant, ils envisagent de créer un autre moteur de recherche ». Mon ma mes. De telles roues entre les roues!

Maintenant, je ne veux pas me laisser distancer par toutes ces histoires de piratage compliquées et ces téraoctets volés stupéfiants. Ils n'étaient que des documents d'information pour définir le contexte. Mon problème est simple: ma fille a commandé une pizza Domino récemment. Malgré le communiqué de presse publié par Domino’s selon lequel aucune donnée financière n’a été enlevée par les cyber-voleurs, je suis toujours inquiet. Le cyber-expert israélien dit que les détails d'un million de cartes de crédit ont été empochés par les pirates. Il pourrait bien exagérer mais que se passe-t-il si ses informations sont réellement vraies? Que faire si la carte de crédit de ma fille est effectivement compromise?

Pour Domino’s, ma fille est un client occasionnel… peut-être une fois par mois, plus ou moins. Leur généralisation de toute la faille de sécurité est assez compréhensible. Jusqu'à ce qu'il y ait vraiment une crise, pourquoi créer la panique? Jusqu'à présent, une grande partie de ce qui est pelleté dans les médias n'a aucune preuve concrète, pour ou contre. Un déni public, du point de vue de Domino, est donc probablement suffisant.

Mais pour Visa ou Mastercard, les émetteurs de la carte de crédit, et pour la banque qu'elle patronne, elle est une cliente presque quotidienne avec un potentiel substantiel de dommages financiers. Pour eux, la relation est plus profonde qu'une simple pizza.

– Visa / Mastercard / la banque n'aurait-elle pas dû envoyer un message / appeler tous les 1 million de clients potentiellement concernés? Lorsque les banques et les sociétés de cartes de crédit peuvent continuer à envoyer toutes sortes d'offres inutiles à leurs clients, pourquoi éviter tout contact sur une question aussi importante? Le message aurait bien pu être simplement que nous sommes en contact avec Domino’s et, pour l’instant, il n’ya pas lieu de s’inquiéter. Aucune donnée financière n'a été compromise. Quel soulagement pour tous les clients de savoir qu'ils sont en sécurité, que leur argent est en sécurité et que la banque maîtrise bien la situation.

– Ce n’est peut-être pas une précaution inutile pour les banques de demander à tous les 1 million de clients qui ont traité avec Domino’s de changer leurs mots de passe. Bien sûr, Domino dit que les données financières ne sont pas affectées, mais une mesure de précaution ferait-elle vraiment du mal à qui que ce soit? Les domino ont très probablement raison de ne pas stocker les données de carte de crédit des clients, car je suppose qu'ils utilisent une passerelle tierce qui ne transmet pas ces informations aux serveurs de la société de pizza. Mais la plupart des clients ne savent pas ou ne comprennent pas vraiment tout cela.

Lire aussi: Facebook s'attaque au Clubhouse et dévoile les prochains produits audio

– La question est de savoir pourquoi les banques n'ont-elles pas réagi? La réponse la plus simple à cette question est une position prudente, «laissez les chiens endormis mentir», que les organisations de services ont souvent tendance à adopter. Environ 90% des clients concernés ne seraient probablement pas au courant du problème du Domino. Ils ont acheté leur pizza, l'ont payée et sont maintenant parfaitement aveugles à tout ce qui se passe dans l'entreprise de pizza. Pourquoi les informer, leur expliquer qu'il y a peut-être un problème et les inquiéter alors que personne ne connaît encore vraiment toute la vérité et qu'aucun dommage n'a en tout cas été fait?

– Passons maintenant à la fuite potentielle de données personnelles… nom, adresse, numéro de téléphone, e-mail, peut-être plus? La divulgation publique de ces informations peut-elle être préjudiciable? Qui sait. Cela ne fait peut-être pas partie de cette violation de Domino, mais des violations ont été signalées dans d'autres entreprises où des numéros de compte bancaire, des détails de carte Aaadhar et des numéros PAN ont été divulgués. Comment rendre ces entreprises responsables?

Les demandes de rançon sur les données piratées ne sont pas nouvelles pour Domino’s Pizza. Le groupe hacktiviste Rex Mundi, en 2014, a affirmé avoir violé les serveurs de Domino's Pizza en France et en Belgique, téléchargeant environ 600 000 fiches clients. Dans une déclaration publiée sur dpaste, une application de partage de texte, Rex Mundi avait alors déclaré qu'il était en mesure de télécharger les noms complets, adresses, numéros de téléphone, adresses e-mail et mots de passe des clients depuis les serveurs de la société de pizza qui, selon Domino's, étaient principalement utilisés pour les offres promotionnelles.

Ce problème de Domino est-il un événement que nous pouvons ignorer? Les violations de données sont de plus en plus fréquentes… et effrayantes.

– En mai 2019, les données d'environ 300 millions d'utilisateurs indiens sur l'application mobile suédoise Truecaller ont été divulguées et mises à disposition à la vente sur le dark web.

– En 2019 même, Amazon Inde a fait face à un problème technique, qui a exposé les rapports fiscaux de certains de ses vendeurs à d'autres … environ 400 000 de ses vendeurs pourraient facilement télécharger les rapports fiscaux d'autres fournisseurs concurrents.

– Service de recherche local, Justdial a eu une faille dans laquelle les données personnelles de plus de 100 millions d'utilisateurs du moteur de recherche ont été exposées en ligne en raison d'une API expirée qui fuit il y a quelques années.

Quelle que soit la fin éventuelle du problème de violation de Domino, je pense toujours que les banques et les organisations de services doivent être plus réactives aux préoccupations des clients. Essayer de le souhaiter peut fonctionner une fois. Peut-être deux fois. Mais Dieu nous en préserve, si et jamais, le problème est de nature sérieuse, le contrecoup sera difficile à gérer.

L'auteur est le président du Forum pour l'utilisation éthique des données (FEUD). Les opinions exprimées sont personnelles.

Visionner BE + | Way forward mantras pour le monde post COVID | Des leaders du marketing de premier plan tels que Deepa Krishnan, Anurita Chopra, Samir Singh et Santosh Iyer, dans tous les secteurs de la série de vidéos spéciales



Source link

On voit clairement qu’il est possible de se lancer sans argent et inconscient technique particulière. Je vous conseille de vous jeter en dropshipping formellement ne pas mettre trop d’argent sur votre site. Il vous faut notamment avoir un budget marchéage pour fabriquer venir visiteurs sur votre boutique : c’est le nerf de la guerre. Car tel que nous-mêmes l’ai dit, vous avez la possibilité avoir la plus belle boutique. Sans trafic, vous ne ferez à la saint-glinglin de chiffre d’affaires. Une fois que vous aurez testé, votre marché vous pourrez alors séduire un stock.