Imaginez un instant : vos documents d’identité les plus sensibles – permis de conduire, passeport, et plus encore – exposés au grand jour sur Internet, accessibles à quiconque sachant où chercher. C’est malheureusement la réalité qu’ont vécu des centaines de milliers de clients d’un vendeur de cartes cadeaux en ligne américain, MyGiftCardSupply.

600 000 documents d’identité exposés

Selon le chercheur en sécurité JayeLTee, qui a découvert cette faille de sécurité, le serveur de stockage en ligne de MyGiftCardSupply contenait plus de 600 000 photos recto-verso de documents d’identité et des selfies d’environ 200 000 clients. Ces données hautement sensibles étaient stockées sans aucune protection, sur un serveur Microsoft Azure accessible publiquement.

MyGiftCardSupply demande à ses clients de fournir une copie de leurs documents d’identité dans le cadre de ses efforts de conformité avec les règles américaines de lutte contre le blanchiment d’argent, souvent appelées vérifications « Know Your Customer » ou KYC. Mais au lieu de protéger soigneusement ces informations, l’entreprise les a laissées grandes ouvertes sur Internet.

Une tendance inquiétante

Ce n’est malheureusement pas un incident isolé. Ces dernières années, de nombreuses fuites de données ont impliqué des documents d’identité collectés pour des vérifications KYC :

• En avril dernier, un hacker a prétendu avoir volé World-Check, une base de données de filtrage KYC massive contenant des noms, dates de naissance, numéros de passeport et de sécurité sociale, et numéros de compte bancaire.
• Cette semaine, JayeLTee a signalé une autre fuite de 320 000 passeports et permis de conduire provenant du site de recherche de colocataires Roomster.

Les risques pour les utilisateurs

De telles fuites exposent les individus concernés à de multiples risques :

• Vol d’identité : avec accès à autant d’informations personnelles, des fraudeurs peuvent ouvrir des comptes ou contracter des prêts au nom des victimes.
• Hameçonnage ciblé : les données volées permettent des escroqueries sur-mesure bien plus crédibles.
• Chantage et extorsion : les malfaiteurs peuvent menacer de révéler des informations compromettantes.

La perte de contrôle sur ses données personnelles peut avoir des conséquences dévastatrices. Les entreprises ont le devoir de protéger les informations sensibles qui leur sont confiées.

MyGiftCardSupply réagit

Contacté par TechCrunch, le fondateur de MyGiftCardSupply Sam Gastro a confirmé la faille et déclaré que « les fichiers sont maintenant sécurisés ». L’entreprise effectuera un « audit complet de la procédure de vérification KYC ». À l’avenir, elle prévoit de « supprimer rapidement les fichiers après avoir effectué la vérification d’identité ».

Cependant, Gastro n’a pas précisé depuis combien de temps les données étaient exposées, ni si MyGiftCardSupply envisage de notifier les personnes affectées. L’entreprise n’a pas non plus expliqué pourquoi elle n’avait pas répondu à l’email initial du chercheur en sécurité signalant le problème.

Que faire en cas de fuite de données ?

Si vos informations ont été compromises dans une fuite de données, voici quelques mesures pour vous protéger :

• Changez immédiatement les mots de passe des comptes associés, en utilisant des mots de passe forts et uniques.
• Activez l’authentification à deux facteurs partout où c’est possible.
• Surveillez régulièrement vos relevés bancaires et rapports de crédit pour détecter toute activité suspecte.
• Méfiez-vous des emails et appels non sollicités vous demandant des informations personnelles.

Malheureusement, avec la multiplication des fuites de données, la vigilance est de mise. Nous devons tenir les entreprises responsables de la sécurité de nos informations et exiger de meilleures pratiques de protection des données. C’est un combat continu, mais crucial pour préserver notre vie privée à l’ère numérique.