Comment un camp de codage pour enfants, iD Tech, a-t-il pu être piraté, mettant en danger les données personnelles de milliers d’utilisateurs? Depuis des semaines, les parents cherchent désespérément des réponses. Mais pourquoi iD Tech persiste-t-il à ne pas reconnaître la fuite de données ni à informer les parents concernés?
La nouvelle de cette fuite de données a éclaté en février, lorsqu’un hacker sur un forum de cybercriminalité a affirmé avoir piraté iD Tech un mois plus tôt, le 3 janvier. Le pirate prétendait avoir dérobé près d’un million d’enregistrements d’utilisateurs, dont des noms, dates de naissance, mots de passe en clair et environ 415 000 adresses e-mail uniques. Malgré les preuves, iD Tech n’a toujours pas répondu ni pris de mesures pour protéger ses utilisateurs. Qu’est-ce qui retient iD Tech d’agir et de minimiser les conséquences de cette fuite de données?
Certains parents n’ont appris la fuite que le 6 mars, lorsque des services de notification de violation de données tels que « Have I Been Pwned » ont obtenu les informations et envoyé des notifications aux familles concernées. D’autres parents l’ont découvert lorsque d’autres services, tels que Firefox ou leur logiciel de sécurité informatique, leur ont signalé que leurs informations se trouvaient dans les données piratées. Comment se fait-il que tant de personnes concernées n’aient pas été informées par iD Tech directement?
iD Tech n’a pas encore reconnu publiquement la faille de sécurité ni informé les détenteurs de compte touchés.
Un parent dont les informations ont été volées et qui a été informé par un service de notification de violation de données a déclaré à TechCrunch que les informations volées ne représentent qu’une partie des données que iD Tech collecte sur les titulaires de compte et les enfants qui utilisent sa plateforme, y compris le sexe, les informations de facturation et certaines données de santé, telles que les vaccinations. Ce parent a également affirmé que les données violées doivent concerner la date de naissance de l’enfant, car il n’a jamais fourni la sienne. Mais pourquoi iD Tech collecte-t-il des données aussi sensibles et comment les protège-t-il?
Ce parent a également déclaré que iD Tech ne l’a pas encore informé de la violation. Lorsqu’il a contacté l’entreprise pour se renseigner, iD Tech a prétendu avoir déjà informé les titulaires de compte concernés. Pourtant, iD Tech n’a pas encore reconnu publiquement la faille de sécurité, ni sur son site web ni sur aucun de ses réseaux sociaux. Y a-t-il une raison valable derrière ce silence persistant de la part de iD Tech?
Lorsqu’il a été contacté par e-mail, le PDG d’iD Tech, Pete Ingram-Cauchi, a refusé d’expliquer pourquoi l’entreprise n’avait pas publiquement reconnu la violation. La société a également refusé de dire si l’atteinte avait été signalée aux bureaux des procureurs généraux des États, conformément aux lois sur la notification des atteintes aux données. Faut-il s’inquiéter du manque de transparence de la part d’iD Tech dans cette situation?
Source : Techcrunch
