[ad_1]
Il y a plus d’un an, Coinsquare avait des indications selon lesquelles des milliers de données personnelles de ses clients avaient été violées, mais n’en a notifié qu’une poignée à l’époque, a appris BetaKit.
Vice a été le premier à signaler, la semaine dernière, que des pirates informatiques avaient obtenu les informations personnelles de plus de 5 000 utilisateurs de Coinsquare, y compris des adresses électroniques, des numéros de téléphone, des adresses physiques, etc. Le hacker en question a informé le Vice de son intention d’utiliser ces données pour des attaques de type « SIM swapping ».
« Il y avait des indications données par cette personne disant qu’ils en avaient des milliers mais nous n’avions aucune raison de croire que c’était vrai. »
Selon Coinsquare, la société a découvert pour la première fois une « possible violation de données » début 2019. Dans des courriels envoyés aux utilisateurs de Coinsquare la semaine dernière, obtenus par BetaKit, la société a déclaré que le nombre d’utilisateurs de Coinsquare affectés à l’époque était limité à quatre. Stacey Hoisak, l’avocat général de Coinsquare, a suggéré à Vice que la société n’était pas au courant à l’origine de l’étendue de la violation.
Dans un récent entretien avec BetaKit, le PDG de Coinsquare, Cole Diamond, a cependant révélé que « les indications données il y a un an en termes de taille et d’ampleur de la violation, correspondent à ce que nous avons pu identifier cette semaine, en termes de quantité ultime d’informations personnelles qui ont été divulguées ».
Alors que Coinsquare a informé l’année dernière les forces de l’ordre et le Commissariat à la protection de la vie privée du Canada, comme il est tenu de le faire par la loi, la plateforme de négociation cryptocurrentielle n’a contacté que les quatre utilisateurs dont elle pouvait confirmer la violation des données.
Diamond a expliqué à BetaKit que, en 2019, Coinsquare a été contacté par une personne qui a indiqué avoir obtenu les données personnelles de milliers d’utilisateurs et d’utilisateurs potentiels de Coinsquare. Cependant, cette personne n’a fourni que les noms et les coordonnées de six personnes, dont quatre étaient titulaires d’un compte Coinsquare et deux étaient des utilisateurs potentiels, a déclaré M. Diamond. Le PDG a déclaré que la violation des données s’était produite « il y a environ 18 mois ».
RELATIVES : Coinsquare acquiert la plate-forme de cryptage décentralisée StellarX
À l’époque, Coinsquare n’a alerté que les quatre utilisateurs du compte Coinsquare dont la société pouvait confirmer la violation des données.
En vertu de la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les organisations sont tenues de « signaler au Commissaire à la protection de la vie privée du Canada les violations des mesures de sécurité impliquant des renseignements personnels qui présentent un risque réel de préjudice important pour les personnes ; [as well as] informer les personnes concernées de ces violations ».
La loi stipule que les entreprises ne sont tenues de signaler une violation, quelle que soit sa taille, que « s’il est raisonnable, dans les circonstances, de penser que la violation des garanties de sécurité crée un risque réel de préjudice important » pour un individu. Par préjudice important, on entend « les dommages corporels, l’humiliation, l’atteinte à la réputation ou aux relations, la perte d’emploi, d’opportunités commerciales ou professionnelles, la perte financière, l’usurpation d’identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens ». Cela s’applique également à toute information personnelle qui a été « transférée à un tiers pour traitement ».
« Ce que j’essaie d’expliquer à ce sujet, c’est que nous n’avons aucun moyen de le valider », a déclaré M. Diamond à BetaKit, concernant la possibilité que les données de milliers d’utilisateurs aient été violées l’année dernière.
« Personne à contacter, personne qui était engagé avec nous, pour nous dire, et donc pas grand chose que nous puissions faire à ce sujet, personne avec qui nous pouvions communiquer en dehors de ceux dont nous savions qu’ils étaient touchés », a ajouté le PDG.
Lorsqu’il a confirmé par la suite que Coinsquare n’avait contacté que quatre utilisateurs en 2019 au sujet de la violation, alors qu’il savait qu’il y avait peut-être des milliers de personnes touchées, M. Diamond a déclaré : « Non, je ne savais pas qu’il y en avait des milliers. Je n’ai pas dit cela ».
« J’ai dit qu’il y avait des indications données par cette personne disant qu’ils en avaient des milliers mais nous n’avions aucune raison de croire que c’était vrai », a-t-il dit à BetaKit.
Coinsquare a tenu à ce que les données n’aient pas été volées de sa plate-forme par un hacker, mais aient été violées par un ancien employé.
Dans le cadre de l’enquête de Vice, la publication a reçu une version des données qui ont été volées. Elle comprenait plus de 5 000 lignes d’adresses e-mail, de numéros de téléphone et, dans certains cas, d’adresses physiques des utilisateurs.
Diamond a confirmé à BetaKit que parmi ces rangées, 3 900 étaient de véritables utilisateurs de Coinsquare, tandis que les 1 100 autres étaient des clients potentiels. Toutes les informations sur les utilisateurs étaient conservées dans un système tiers de gestion de la relation client (CRM).
Le PDG a également confirmé que Coinsquare est convaincu que les données récemment partagées sont les mêmes que celles qui ont été violées il y a 18 mois.
« Nous avons vu les données, nous les avons comparées côte à côte », a déclaré M. Diamond, ajoutant qu' »aucun utilisateur qui s’est manifesté au cours des 18 derniers mois ne figure dans la liste, ce qui l’oriente vers la période exacte comme auparavant ».
Suite au rapport de Vice, Coinsquare a envoyé, la semaine dernière, des courriels à sa base d’utilisateurs pour les informer si leurs données personnelles étaient ou non concernées par « la violation ». Diamond a déclaré à BetaKit que Coinsquare avait envoyé des courriels à l’ensemble de sa base d’utilisateurs, soit plus de 300 000 personnes, et qu’une autre version du courriel avait été envoyée aux 3 900 utilisateurs de Coinsquare pour les informer que leurs données avaient été violées.
Le PDG n’a pas indiqué si la société avait contacté les 1 100 autres prospects de Coinsquare dont les données avaient également été violées.
Coinsquare a tenu à ce que les données n’aient pas été volées de sa plate-forme par un pirate informatique. La startup a déclaré dans ses e-mails que « ce n’était pas une violation des systèmes centraux de Coinsquare », ajoutant qu’aucun mot de passe n’était inclus dans les données obtenues. Coinsquare a confirmé que les données provenaient d’une base de données tierce de gestion des ventes que la startup utilisait pour la « prospection ».
RELATIVES : Coinsquare licencie 40 employés, dont des cadres supérieurs
La plateforme commerciale basée à Toronto a imputé la responsabilité de la violation à un ancien employé, qui, selon la société, était responsable du vol des données « il y a environ 18 mois ».
« La ou les personnes responsables du vol de données ont indiqué que leur intention de publier les données est de « mettre la société dans l’embarras ». Coinsquare prend ces types de menaces de sécurité au sérieux », a écrit la société dans son courrier électronique aux utilisateurs.
Lorsqu’on lui a demandé comment Coinsquare était sûr que les données avaient été volées par un ancien employé et non par un piratage, M. Diamond a répondu à BetaKit : « en théorie, il est possible que notre fournisseur de CRM ait été piraté. Mais j’en doute fortement, car c’est un très, très grand fournisseur de CRM et nous l’aurions appris. Donc, c’est vraiment un processus d’élimination, quelqu’un a piégé ces données du CRM ».
« Tout ce que nous pouvons faire, c’est nous améliorer, même si je dirais que tout au long [Coinsquare’s] l’histoire, nous avons été exceptionnels ».
Le PDG a affirmé qu’une enquête interne a eu lieu, mais n’a pas pu confirmer que l’enquête a fourni la preuve que la violation a été causée par un ancien employé plutôt que par un hacker.
« Il n’y a pas d’autre explication à la façon dont les données ont pu sortir », a déclaré M. Diamond. « Ce sont des données de CRM, d’où viennent les données de CRM à part le CRM. Qui a accès au CRM ? Les employés ».
« Nous ne blâmons pas le tiers. Permettez-moi d’être incroyablement clair », a-t-il ajouté. « Mais laissez-moi également préciser de manière incroyablement claire que nos systèmes n’ont pas été violés. Je ne blâme personne, je pense que nous devons être responsables de la sécurité des données de nos propres utilisateurs. Et en fin de compte, cette responsabilité nous incombe ».
« Tout ce que nous pouvons faire, c’est nous améliorer, même si je dirais que tout au long [Coinsquare’s] l’histoire, nous avons été exceptionnels », a déclaré M. Diamond. « Nous n’avons jamais perdu les fonds de nos clients. Et je suis sûr que nous en sommes la cible depuis plus de trois ans maintenant, ce qui est à peu près la période pendant laquelle nous avons été l’un des leaders du marché au Canada ».
Dans son courriel aux utilisateurs, Coinsquare a noté que depuis le « vol de données » initial survenu en 2019, elle a remplacé ses systèmes internes de gestion des ventes, réécrit ses politiques de gestion des données et renforcé ses contrôles internes. La startup a ajouté dans son e-mail que la sûreté, la sécurité et le droit à la vie privée de ses utilisateurs sont les principales priorités de Coinsquare.
RELATIVES : Canada Stablecorp lance une monnaie cryptographique liée au dollar canadien
« Coinsquare a mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques pour protéger les informations personnelles identifiables de nos clients contre la perte ou le vol, l’accès non autorisé, la divulgation, la copie, l’utilisation ou la modification », a déclaré la société.
La start-up a également informé les forces de l’ordre et le Commissariat à la protection de la vie privée du Canada sur les milliers de données d’utilisateurs qui ont été violées, suite au rapport de Vice.
Dans son courrier électronique, Coinsquare a encouragé tous les utilisateurs concernés à mettre à jour leurs mots de passe et leurs adresses électroniques personnelles. La société a également indiqué aux personnes concernées de contacter leur opérateur de téléphonie mobile « pour s’assurer que des mesures supplémentaires sont mises en place sur leur compte de téléphone portable afin de prévenir toute tentative potentielle d’échange de carte SIM ».
Coinsquare a également indiqué dans son courrier électronique aux utilisateurs qu’ils sont en droit de déposer une plainte auprès du Commissariat à la protection de la vie privée en ce qui concerne la violation.
Source de l’image Coinsquare via Glassdoor
[ad_2]