Nous avons eu un incident touchant les données. Voici ce que vous devez savoir.
Cet article a été mis à jour le 29 décembre 2023 pour refléter de nouvelles informations.
Shakepay croit en la transparence, c'est pourquoi nous voulons partager des détails concernant un incident récent touchant les données qui a affecté un petit nombre de nos clients et sur la façon dont nous avons répondu maintenant que notre enquête est terminée.
Données touchées
Notre enquête a révélé qu'entre le 22 mars 2023 et le 13 décembre 2023, un acteur malveillant a pu extraire les informations personnelles d'un petit nombre de nos clients en accédant à deux ensembles de données différents.
Le premier ensemble de données provient de nos plateformes internes. Les informations potentiellement consultées comprenaient le nom, l'adresse courriel, l'adresse, la date de naissance, le numéro de téléphone, la profession, le contact de confiance, les soldes des comptes et les activités de transaction. Nous avons directement contacté tous les clients impactés par courriel le 14 décembre et publié des informations à ce sujet sur notre blog et les réseaux sociaux.
Le deuxième ensemble de données, auquel le même acteur malveillant a accédé entre le 10 et le 13 décembre, provenait d'une plateforme tierce que nous utilisons pour les communications avec nos clients. Les informations potentiellement consultées comprennent : le nom, le courriel, le titre du poste, les métadonnées IP, des détails concernant votre compte (tels que la méthode d'authentification à 2 facteurs, si le compte a un solde et si un dépôt a été effectué). Les soldes des comptes, la valeur des dépôts, les adresses et les numéros de téléphone n'ont pas été consultés. Le 29 décembre, nous avons envoyé un courriel aux clients potentiellement concernés pour les informer.
Tous les clients concernés par cet incident touchant les données ont été contactés directement.
Nous pouvons confirmer qu'aucun compte bancaire, portefeuille de cryptomonnaies, dépositaire, informations d'identification du compte ou document d'identité de client n'a été affecté.
Chronologie des événements
Le 13 décembre, nous avons détecté une activité suspecte provenant de l'appareil de travail d'un employé. Notre équipe de sécurité a lancé une enquête dans le cadre de notre protocole de réponse aux incidents et a immédiatement verrouillé, désauthentifié et mis hors service cet appareil, puis révoqué tous ces accès. L'employé a été immédiatement suspendu afin de nous permettre de mener une enquête.
Le 14 décembre, nous avons informé les clients concernés par le premier ensemble de données que leurs informations personnelles pourraient avoir été extraites par cet acteur malveillant. Nous avons pu rapidement confirmer la liste des clients impactés et l'étendue des données car nos protocoles de surveillance interne enregistrent tous les accès des employés à ces systèmes.
Le même jour, par excès de prudence, nous avons désactivé les retraits pour certains clients concernés. Quelques jours plus tard, le 22 décembre, nous avons mis en place un processus de vérification avancée pour ces clients qui, une fois complété, a rétabli leur accès.
Le 18 décembre, nous avons reçu des journaux d'accès de notre plateforme de communications avec nos clients et, au cours de la semaine suivante, nous avons confirmé qu'un autre groupe de clients pourrait avoir été touché. Comme ces informations dépendaient de la coopération d'un tiers, cette partie de l'enquête a pris plus de temps que prévu.
Le 22 décembre, nous avons licencié l'employé dont l'appareil était à l'origine de cet incident pour ne pas avoir respecté nos politiques internes de sécurité et des opérations.
Le 29 décembre, nous avons contacté directement tous les clients concernés par le deuxième ensemble de données pour les informer et nous avons publié ce billet expliquant la chronologie des événements et l'étendue des données qui ont été impactées.
Notre réponse
Dès que nous avons pris connaissance de cet incident, nous avons priorisé les actions suivantes :
- Nous avons lancé un processus de vérification supplémentaire pour les clients effectuant des activités financières critiques (telles que le retrait de crypto). Certains clients devront désormais revérifier leurs comptes via l'authentification du visage lorsqu'ils effectueront ces activités.
- Nous avons renforcé nos systèmes internes de surveillance et de détection afin de repérer plus rapidement les événements de ce type.
- Nous avons augmenté la taille de notre équipe de soutien à la clientèle de 35% depuis le 13 décembre afin d’améliorer le temps de réponse de notre service client. Nous continuons à investir massivement dans l'amélioration de notre service client, et les clients peuvent s'attendre à des améliorations importantes au cours des prochains mois.
Bien que cet incident ne soit pas représentatif de l'expérience client que nous aimerions offrir, il est important de noter que nombre de nos politiques internes, notamment la vérification des antécédents de tous les employés, l'accès hiérarchisé et autorisé aux plateformes internes pour les postes traitant des informations sensibles, et le chiffrement des données au repos pour les informations sensibles, ont considérablement réduit le nombre de clients touchés par cet incident ainsi que sa portée.
Comme toujours, nous aimerions continuer à encourager les clients à être attentifs aux signes d'activité suspecte et à être particulièrement attentifs aux courriels, aux messages textos et aux appels téléphoniques vous demandant de changer votre mot de passe, de retirer vos fonds, de confirmer ou de rejeter une transaction que vous n'avez pas effectuée, ou de vous connecter à votre compte par le biais de liens suspects. L'activation d'une appli d’authentification est également fortement recommandée à tous les clients.
Nous reconnaissons la gravité de cet incident, c'est pourquoi nous prenons des mesures importantes pour y remédier. Notre objectif n'est pas seulement de résoudre cet incident, mais aussi d'en tirer les leçons et d'apporter toutes les améliorations possibles pour mieux protéger nos clients à l'avenir. La sécurité demeure notre priorité, et nous nous excusons à nouveau pour les désagréments ou les problèmes causés. Merci à nouveau de votre soutien.
Le texte suivant est notre billet original, tel qu'il a été publié le 14 décembre 2023.
La confidentialité des informations et la sécurité de nos clients sont au cœur de tout ce que nous faisons chez Shakepay, et nous visons à toujours faire preuve de transparence. Nous vous écrivons aujourd'hui pour vous informer d'un accès non autorisé potentiel aux informations personnelles détenues par Shakepay d’un très petit nombre de nos clients, et de ce que nous faisons pour vous aider à gérer cette situation.
Seules vos données ont été compromises. Aucun comptes bancaires, portefeuilles de cryptomonnaies, dépositaires, ou informations d'identification du client n'ont été affectés.
Que s'est-il passé ?
Le 13 décembre, nous avons détecté des activités suspectes provenant de l’appareil de travail d’un employé. Notre équipe de sécurité a lancé une enquête dans le cadre de notre protocole de réponse aux incidents et a immédiatement verrouillé, désauthentifié et mis hors service cet appareil.
Notre enquête a révélé qu'entre mars et le 13 décembre 2023, un acteur malveillant a pu extraire les informations personnelles d'un très petit nombre de nos clients.
Nous soupçonnons que les informations personnelles suivantes pourraient avoir fait partie de la brèche : nom, courriel, adresse, date de naissance, numéro de téléphone, profession, contact de confiance, soldes du compte et activités de transaction.
Soyez attentifs aux signes d'activité frauduleuse
Nous vous encourageons fortement à être attentif aux signes d'activité frauduleuse. Voici comment vous pouvez vous protéger :
- Passez à une méthode plus forte de sécurisation de votre compte Shakepay, par exemple en activant l'authentification à deux facteurs avec une app d'authentification (TOTP).
- Soyez attentif aux courriels, SMS et appels téléphoniques vous demandant de changer votre mot de passe, de retirer vos fonds, de confirmer/rejeter une transaction que vous n'avez pas effectuée, ou de vous connecter via des liens suspects. Considérez ces appels comme malveillants et n'y répondez pas.
- Connectez-vous uniquement via l'application Shakepay ou sur https://shakepay.com.
- Changez le mot de passe de votre compte Shakepay en allant dans l'appli et en cliquant sur « J'ai oublié mon mot de passe » sur la page de connexion. Créez un mot de passe fort et unique que vous n'utilisez sur aucun autre site. Idéalement, utilisez un gestionnaire de mots de passe, comme 1Password.
Notre réponse
Dès que nous avons eu connaissance de cet incident, nous avons mis en place des mesures de sécurité supplémentaires pour les clients concernés.
Nous avons également mis en place une adresse courriel dédiée pour nos clients qui ont été affectés. Cette adresse a été envoyée directement aux clients qui ont potentiellement été affectés.
Nous voulons vous aider à minimiser le risque d'usurpation d'identité pendant cette période, c'est pourquoi nous offrirons un suivi de crédit gratuit pendant deux ans aux clients concernés qui sont intéressés. Ils recevront ainsi des alertes concernant votre rapport de crédit afin de pouvoir le surveiller et agir rapidement si nécessaire.
En même temps, Shakepay collabore avec les autorités locales et réglementaires, et travaillera en étroite collaboration avec les forces de l'ordre pour soutenir son enquête sur les individus à l'origine de cet incident. Notre enquête est en cours.
À l'avenir
Votre confiance est extrêmement importante pour nous et nous ferons tout ce qui est en notre pouvoir pour la conserver. Soyez assuré que la sécurité de votre argent et de vos informations personnelles est toujours notre priorité absolue, et que nous continuons à surveiller attentivement la situation et à utiliser tous les recours possibles pour protéger vos données personnelles et poursuivre les mauvais acteurs.
Tous les clients qui sont potentiellement affectés seront contactés directement. Si vous n'êtes pas contactés, cela signifie que vous n'êtes pas affectés.
Si vous avez besoin de plus de soutien, n'hésitez pas à contacter notre équipe de soutien à la clientèle.