Archives par mot-clé : données bancaires

Cybersécurité, Entreprise

Erreur de données chez KBC Securities Services : 5 000 clients exposés par une fuite accidentelle

Une faille de confidentialité chez KBC Securities Services a mis en péril les données financières de milliers de clients, révélant des informations sensibles à des tiers non autorisés.

 

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

C’est un dysfonctionnement aux conséquences sérieuses. KBC Securities Services, filiale du groupe bancaire belge KBC spécialisée dans la gestion de titres pour le compte de grandes fortunes, d’investisseurs institutionnels et de banques privées, a reconnu avoir envoyé, par erreur, des informations financières sensibles à des destinataires pour lesquels ces données n’étaient pas destinées. L’incident, d’origine humaine selon les premières conclusions, touche environ 5 000 clients, soulevant des inquiétudes majeures en matière de protection des données et de confidentialité bancaire.

L’incident s’est produit dans le cadre des activités de KBC Securities Services, un acteur discret mais influent dans l’univers de la gestion d’actifs. Ce service fournit notamment des documents détaillant la composition des portefeuilles, les montants investis, les valeurs des actions détenues, et d’autres informations à caractère financier et personnel. Selon plusieurs témoignages recueillis par le quotidien économique belge De Tijd, certains destinataires de ces documents ont rapidement pu identifier d’autres clients à partir des informations reçues. Un des témoins, lui-même destinataire erroné, a confié avoir reconnu un actionnaire connu dont le portefeuille affichait une valeur très importante.

« Il m’a suffi de quelques clics pour identifier certains titulaires de portefeuille. L’un d’eux est actionnaire dans une entreprise cotée très connue. Les montants figurant dans le document étaient loin d’être négligeables« , explique-t-il, soulignant la gravité de la fuite.

Selon les premières explications fournies par KBC, l’erreur serait liée à un prestataire externe chargé de générer et d’envoyer les documents aux clients. Un dysfonctionnement dans le processus aurait conduit à l’envoi croisé de documents, affectant un « nombre limité » de clients, selon le vocabulaire prudemment choisi par la banque. Mais ce « nombre limité » équivaut tout de même à environ 5 000 personnes, soit une proportion non négligeable au regard du profil hautement sensible de la clientèle concernée.

Dans sa déclaration officielle, KBC Securities Services tente de contenir les dégâts. L’entreprise affirme avoir immédiatement réagi pour corriger l’erreur, informer les clients touchés et prendre des mesures pour empêcher qu’un tel incident ne se reproduise. « La protection des données personnelles de nos clients est l’une de nos plus grandes priorités », indique le communiqué, sans donner davantage de détails sur la nature des mesures prises.

Une violation de ce type peut exposer une institution financière à des sanctions lourdes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial du groupe, comme le prévoit le Règlement général sur la protection des données (RGPD). Toutefois, les experts interrogés par la presse belge estiment qu’une amende de cette ampleur est peu probable dans ce cas précis, en raison de la nature accidentelle de la fuite et de la réponse rapide de la banque.

L’enjeu principal ne se situe peut-être pas au niveau pécuniaire, mais bien dans la confiance des clients. La réputation de discrétion et de fiabilité de KBC Securities Services pourrait en sortir sérieusement écornée. Dans le secteur très concurrentiel de la gestion de fortune, où la confidentialité est une condition sine qua non de la relation client, ce type d’incident peut provoquer un désengagement rapide et discret de clients fortunés vers des institutions jugées plus sûres.

Certains clients envisagent d’ailleurs de porter plainte ou d’engager des actions en justice, toujours selon De Tijd. Un juriste spécialisé dans la protection des données personnelles estime que les clients ayant subi un préjudice — par exemple la divulgation de données à des concurrents ou des relations personnelles — pourraient obtenir réparation si un lien de causalité est démontré. Toutefois, prouver que la réception d’un mauvais document a directement nui à un client reste complexe, même si le préjudice moral et psychologique est évident.

« Un préjudice réputationnel peut suffire à motiver une action en justice, surtout si les montants en jeu ou les informations révélées sont significatifs », souligne-t-il.

Le secteur financier belge, déjà ébranlé par diverses cyberattaques ces dernières années, voit ainsi se poser une nouvelle menace : celle de la faille humaine. Les institutions bancaires ont massivement investi dans la cybersécurité, mais une simple erreur humaine dans une chaîne externalisée suffit à mettre à nu les limites d’un système pourtant très sécurisé. Cette affaire met également en lumière une problématique souvent sous-estimée : le rôle des sous-traitants et prestataires dans la gestion quotidienne des données sensibles. La délégation de certaines tâches, si elle est économiquement rationnelle, ouvre aussi des brèches que la technologie ne peut entièrement combler.

L’Autorité belge de protection des données a été saisie de l’affaire, mais n’a pour l’heure formulé aucun commentaire officiel. Si elle décide d’ouvrir une enquête, KBC devra justifier l’ensemble des étapes ayant conduit à la fuite et démontrer la mise en œuvre de mesures correctives suffisantes. Ce processus pourrait durer plusieurs mois, voire plus, selon la complexité du dossier.

Dans l’immédiat, la banque reste sur la défensive et refuse de communiquer des détails supplémentaires. Elle affirme que l’ensemble des clients concernés ont été personnellement contactés et qu’un suivi individuel est en cours pour répondre à leurs questions et inquiétudes. Reste à savoir si cela suffira à contenir la perte de confiance induite par un tel épisode.

Cette affaire résonne comme un avertissement pour l’ensemble du secteur bancaire européen. La protection des données, en particulier celles des clients les plus fortunés, n’est pas seulement une exigence réglementaire, c’est une condition de survie dans un univers où la discrétion est une monnaie aussi précieuse que l’or.

Dès lors, la question s’impose : dans un écosystème financier de plus en plus complexe et interconnecté, peut-on encore garantir la confidentialité absolue des données, ou faudra-t-il apprendre à vivre avec le risque permanent d’une faille, aussi humaine soit-elle ?

Cybersécurité, Paiement en ligne

Pipka, le voleur de données bancaires sur site marchand

A la veille des fêtes de fin d’année, voici venir Pipka, un outil pirate voleur de données bancaires à partir des boutiques en ligne qu’il infiltre.

En septembre 2019, le programme Visa Payment Fraud Disruption (PFD) a identifié un nouvel outil pirate baptisé Pipka. Un skimmer JavaScript. Un voleur de données bancaires.

Pipka cible les données de paiement saisies dans les formulaires de paiement de commerce électronique des sites marchands. Le blog ZATAZ nous relatait ce type de malveillance électronique en 2018 et 2019.

Identification de Pipka sur seize sites marchands compromis. Contrairement aux précédents skimmers JavaScript, Pipka est capable de se retirer du code HTML du la site Web compromis après son exécution. Cela diminue ainsi la probabilité de détection.

Pipka, petit frère d’Inter

Semblable au skimmer JS Inter, le nouveau code pirate permet aux cybercriminels de configurer les champs de formulaire.

L’outil pirate analyse et extrait les données. Bilan, numéro de compte de paiement, date d’expiration, CVV, identités, adresse du titulaire de la carte sont copiés directement via la page légitime ! Le « pirate » vérifie les champs configurés avant l’exécution.

Le code malveillant s’injecte directement à divers endroits sur le site du commerçant. Les données chiffrées en ROT13.

L’aspect le plus intéressant et unique de Pipka est sa capacité à ne pas être présent dans le code HTML. Cela permet un mode fantôme efficace !

Que faire pour s’en protéger ? Compliqué tant la technique est efficace. Préférez des boutiques passant par des sites bancaires. Et espérer que votre commerçant soit au taquet du côté de sa cybersécurité, de son code et de sa veille ! (PFD)

Argent, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, Particuliers

Piratage : Vladimir Drinkman plaide coupable pour le vol de 160 millions de CB

Vladimir Drinkman, 34 ans, est un pirate russe qui aura fait courir la justice américaine durant plusieurs années. Il vient de plaider coupable du piratage de 160 millions de numéros de cartes bancaires.

Selon les documents de la justice, Drinkman et quatre co-accusés ont piraté les réseaux informatiques d’entreprises engagées dans des transactions financières. Parmi les cibles, NASDAQ, 7-Eleven, Carrefour, JCP, Hannaford, Heartland, Wet Seal, Commidea, Dexia, JetBlue, Dow Jones, Euronet, Visa Jordanie, Diners Singapour et Ingenicard.

Drinkman était déjà passé par la case justice dans l’affaire des données piratées avec Albert Gonzalez, 34 ans, de Miami.  Ils s’étaient attaqués au système de paiement d’Heartland Paiement Inc. Drinkman a été arrêté à la demande des États-Unis lors d’un voyage aux Pays-Bas, le 28 Juin 2012. Kalinin, Kotov et Rytikov, les collègues du moscovites sont toujours en fuite. Ils ont compromis plus de 160 millions de numéros de cartes de crédit et a entraîné des centaines de millions de dollars de pertes.

La bande s’était spécialisée dans les injections SQL qui leurs permettaient de mettre la main sur des bases de données. Ils revendaient leurs données dans le black market. Il aurait facturé environ 10 $ pour chaque numéro de carte de crédit américaine volée ; environ 50 $ pour chaque numéro européen ; et environ 15 $ pour chaque numéro canadien. Intéressant, dans le document du Département de la Justice Américaine, on découvre qu’ils revendaient aussi des données qui étaient encodées sur des cartes bancaires vierges. Ici, du piratage à la sauce skimming, les boitiers qui permettent de copier la bande magnétique d’une carte bancaire.  (DoJ)

Banque, BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, Sauvegarde, Social engineering

Piratage de données bancaires pour le groupe Hôtelier Trump ?

Une alerte concernant une importante fuite de données bancaires touche le groupe Hôtelier du milliardaire américain Donald Trump.

Décidément, l’ambiance n’est pas à la fête pour le milliardaire américain Donald Trump. Son concours de Miss USA vient d’être rejeté des chaines de télévisions Univision et NBC après des propos racistes du candidat aux présidentielles américaines. Donald Trump considérant les migrants mexicains comme des personnes dangereuses.

L’homme d’affaire doit faire face à un nouveau problème de taille. Il semble que ses hôtels ont été victimes d’un piratage informatique. Pour le moment le groupe hôtelier n’a pas confirmé. Par la bouche de son vice-président, Eric Trump, l’entreprise explique enquêter sur de très nombreuses plaintes concernant des utilisations frauduleuses de cartes bancaires de clients.

D’après une enquête en cours au sein de Visa et MasterCard, plusieurs hôtels Trump sont concernés dont ceux de Chicago, Honolulu, Las Vegas, Los Angeles, Miami, et New York. Un pirate serait passé par un serveur centralisateur ? Les premières fuites ont été détectées en Février à 2015.

En mars 2015, c’était le groupe Mandarin Oriental d’être touché par une fuite de données. En avril, et pour la seconde fois en 1 an, le White lodging.