Quel scandale de cyber-sécurité frappe l’industrie du divertissement cette fois-ci? National Amusements, société mère de CBS et Paramount, a divulgué un piratage vieux d’un an, touchant 82,128 individus. Mais comment se fait-il que TechCrunch soit le premier à en parler à travers une déclaration légale faite auprès du procureur général du Maine, sous une loi de protection numérique datant de 2005? National Amusements est-il resté silencieux à ce sujet? Et plus intriguant encore, quels types de données ont-ils été compromis : des données de clients ou « seulement » celles des employés?
Le cas de l’état du Maine indique que l’intrusion a eu lieu il y a plus d’un an, du 13 au 15 décembre 2022, affectant plus de 82 000 personnes, dont 64 résidents du Maine. Mais cette affaire soulève des questions. Pourquoi le vice-président senior des ressources humaines de National Amusements a-t-il été celui qui a déposé l’avis? Et pourquoi suggérer, sans confirmer, que cette affaire concernait principalement ou exclusivement les données internes des employés? Faut-il y voir là un indice sur la nature de l’information compromise?
« Aux alentours du 15 décembre 2022, National Amusements a pris connaissance d’activités suspectes sur notre réseau informatique, » déclare leur lettre aux victimes. Ils affirment avoir « immédiatement pris des mesures pour sécuriser notre réseau et minimiser toute perturbation de nos opérations. » Mais cette affirmation est-elle fiable? Comment expliquer alors que le bureau du procureur général du Maine indique la « date de découverte de la faille » comme étant le 23 août 2023, huit mois après l’incident? Y a-t-il eu négligence dans la gestion de cette intrusion?
Cette apparente contradiction suggère une détection tardive du piratage et remet en question la réactivité de National Amusements.
Il semble que les pirates aient accédé à des informations financières, y compris des « numéros de comptes ou de cartes de crédit/débit (en combinaison avec un code de sécurité, code d’accès, mot de passe ou PIN pour le compte). » Quels sont les risques pour les victimes? National Amusements assure offrir 12 mois de suivi de crédit et de services de protection contre le vol d’identité via Experian à ceux dont les numéros de sécurité sociale ont été dérobés. Est-ce suffisant pour rassurer les victimes?
Engadget a tenté de contacter National Amusements pour obtenir une confirmation ou des informations complémentaires; quelle sera la suite de cette affaire? L’article sera mis à jour s’ils obtiennent une réponse. Mais en attendant, quels sont les enjeux pour National Amusements et leur image publique?
Depuis 2019, National Amusements détient une participation majoritaire dans Paramount et CBS suite à la fusion entre Viacom et CBS. Est-ce que ce piratage est lié à celui révélé par Paramount en août, par le biais du bureau du procureur général du Massachusetts, indiquant que la brèche datait de « mai à juin 2023 »? Serait-ce le début d’une série de révélations concernant la cybersécurité des géants du divertissement?
Source : Engadget