Le détaillant de vêtements C&A fait l’objet d’une enquête ouverte par le MPDFT (Parquet du district fédéral et des territoires). La Commission de la protection des données personnelles veut savoir si le magasin a réellement divulgué des données de 2 millions de clients, y compris le CPF et le courrier électronique.
Le MPDFT a ouvert une procédure administrative pour “suivre les conséquences de l’incident de sécurité impliquant la base de données de la société C&A”. Le document du 30 août a été publié lundi (3).
Le collectif de hackers Fatal Error Crew informe Tecmundo qu’il a envahi le système de chèques-cadeaux C&A et qu’il a obtenu les données suivantes : numéro de carte, CPF, e-mail, montant acheté, e-mail de l’employé qui a effectué la transaction, numéro de commande et date d’achat.
Le hacker @j0shua a publié dans Pastebin certaines de ces données. Selon lui, quatre millions de commandes ont été exposées, et on estime que deux millions de clients ont été touchés (certains ont fait plus d’une commande).
Cependant, le collectif Fatal Error Crew déclare qu’il ne distribuera pas ces données personnelles, “puisque nous ne tolérons pas les crimes financiers. Ils ont publié les informations relatives aux cartes cadeaux qui “se trouvaient dans la section des retours, donc elles étaient jetées.
Si la loi générale sur la protection des données personnelles était en vigueur, C&A devrait notifier l’invasion à l’ANPD (Autorité nationale de protection des données). Elle peut aller de l’avertissement à une amende équivalente à 2 % des recettes, limitée à 50 millions. La loi n’entrera en vigueur qu’en 2020.
Introduction par effraction après avoir signalé un abus de données à C&A
Pourquoi le groupe s’est-il scindé en C&A systems ? Parce que certains magasins utiliseraient les données personnelles des demandeurs d’emploi pour engager, sans autorisation, la carte de crédit du magasin. Ce serait une façon de “toucher la cible”. Le hacker écrit : “puisque vous aimez jouer avec les données des autres, nous avons décidé de jouer un peu avec vos systèmes”.
C&A indique dans une déclaration à l’agence française qu'”elle a subi une cyber-attaque sur son système de chèques-cadeaux/échange la semaine dernière et, dès qu’elle a identifié ce qui s’était passé, elle a activé son plan d’urgence et en a informé les autorités compétentes”.
La société confirme qu’elle a reçu la lettre et qu’elle répondra aux questions du MPDFT. En ce qui concerne la loi sur la protection des données personnelles, elle indique qu’elle “agit activement pour s’adapter à la nouvelle législation française sur le sujet qui entrera en vigueur en 2020”.
