KLM a été victime d’une fuite de données personnelles. Selon la compagnie aérienne néerlandaise, un problème est survenu sur une plateforme externe utilisée par KLM pour son service à la clientèle. Cette fuite semble s’inscrire dans une tendance plus large.
D’autres entreprises auraient en effet aussi été touchées par ce genre de fuite. Selon KLM, des mesures immédiates ont été prises, en collaboration avec l’acteur externe impliqué, pour empêcher tout accès non autorisé. Les systèmes internes de KLM et de sa compagnie-sœur Air France n’ont pas été affectés. Selon KLM, aucune donnée sensible, telle que des mots de passe, informations de voyage, Flying Blue-miles, données de passeport ou de carte de crédit, n’a été volée.
Cependant, les noms, coordonnées et numéros Flying Blue de clients pourraient être tombés entre des mains indélicates. Les sujets de courriels contenant des requêtes et des commentaires formulés par des collaborateurs du service à la clientèle pourraient également avoir été consultés par les cybercriminels.
Tendance plus large
On ignore combien de clients ont été touchés par cette fuite. Contactée par l’ANP, une porte-parole de KLM n’a pu donner cette information. La compagnie aérienne a également déposé un rapport auprès de l’autorité néerlandaise de protection des données. Pour des ‘raisons de sécurité’, KLM a refusé de divulguer le nom de la plateforme externe concernée.
Il est à noter que plusieurs entreprises ont fait l’objet de fuites de données auprès de leurs partenaires externes ces dernières semaines et derniers mois. Hier, c’est la chaîne de bijoux Pandora qui a été forcée d’admettre que des données personnelles avaient été divulguées. Le site de sécurité BleepingComputer a attribué la fuite à une campagne du groupe ShinyHunters, qui utilise le phishing (hameçonnage) pour tenter d’accéder aux plateformes Salesforce de diverses entreprises.
Le groupe a déclaré à Bleeping Computer avoir réussi ainsi à attaquer l’entreprise de cloud Snowflake, entre autres. Parmi les autres entreprises touchées par ce type d’attaque figurent Adidas, Qantas, Allianz Life, Louis Vuitton, Dior et Tiffany & Co. Il est question ici d’une campagne d’ingénierie sociale, et donc pas d’une faille de sécurité chez Salesforce. ShinyHunters a toutefois indiqué à BleepingComputer que la campagne était toujours en cours. Il est donc conseillé aux entreprises de s’assurer que leurs comptes Salesforce sont correctement sécurisés et que leurs employés sont bien informés du risque d’hameçonnage.
Le bijoutier Pandora annonce une divulgation de données