Atteinte cauchemardesque à l’intégrité des données - Agile Records

Une fuite de données récente d’une entreprise indépendante de vérification de dossiers met en évidence les risques à long terme liés au stockage de renseignements sensibles à l’extérieur des réseaux policiers sécurisés et met sous les projecteurs l’importance de la sécurité du processus de vérification des dossiers.

National Public Data (NPD) est une entreprise américaine qui vérifie les antécédents des employés et des bénévoles pour le compte d’employeurs et d’organisations. Il regroupe les données provenant de sources multiples, y compris les résultats de la vérification des antécédents, et est affilié à RecordsCheck.net, un site qui héberge et gère les demandes de vérification de dossiers en ligne pour des clients du secteur public et des services de police.

En août 2024, NPD a révélé une importante atteinte à l’intégrité des données. En effet, des pirates ont accédé à des millions de dossiers, y compris des noms, des courriels, des numéros de téléphone, des numéros de sécurité sociale et des adresses, couvrant une période de plusieurs décennies. L’atteinte a exposé 137 millions d’adresses de courriel et 272 millions de numéros de sécurité sociale, qui sont liés à la fois à des dossiers actuels et à des dossiers de personnes décédées.

Cette atteinte a soulevé de graves préoccupations, car RecordsCheck.net avait utilisé des mots de passe par défaut faibles que de nombreux utilisateurs n’avaient pas mis à jour, ce qui rendait les comptes vulnérables à des attaques. Les personnes touchées par l’atteinte font maintenant face à des risques accrus de vol d’identité, ce qui les incite à geler leur crédit, à surveiller les rapports de crédit et à faire appel à des services de surveillance financière.

Cet incident de sécurité lié à la vérification des dossiers souligne les risques liés à l’impartition du stockage des données à des tiers, car de grandes quantités de données volées ont fait l’objet d’une fuite dans le domaine public en ligne. Selon KrebsOnSecurity, NPD et RecordsCheck.net ont aggravé le problème en hébergeant des archives avec des noms d’utilisateur, mots de passe et détails de connexion trop facilement violables.

L’information transmise par un courtier en données rend difficile la vérification de la source et de l’authenticité des données, et les personnes touchées ignorent souvent que les données les concernant étaient d’emblée à risque.

En ce qui concerne la sécurité des vérifications de dossiers, ces risques mettent en relief la nécessité d’établir des cadres réglementaires qui appliquent des normes rigoureuses en matière de protection des données, comportent des obligations en matière de transparence et des exigences en matière de reddition de comptes claires pour les entreprises qui manipulent des données personnelles.

Agile Records, pour sa part, ne stocke pas en ligne les demandes de vérification des dossiers du public ou des organismes d’application de la loi ni les résultats de celles-ci. Toutes les données sont stockées en toute sécurité dans des bases de données de la police, derrière des pare-feu, en respectant rigoureusement les protocoles de sécurité des forces de l’ordre.

Depuis cet incident, une poursuite a été intentée contre NPD.

Pour plus d’informations sur les risques de violation de données, consultez le guide Wired sur les violations de données.