Violation de données identifiée (en anglais)

En septembre, DFDS A/S a découvert une violation de la vie privée concernant les données de ses clients. Nous estimons que le risque de conséquences négatives pour nos clients est faible, mais en raison de l'augmentation générale des tentatives de spear phishing, nous informons nos clients de cet incident, de manière à leur permettre de prendre les précautions qui s'imposent.

Tous les clients susceptibles d'être affectés par la violation de données seront contactés directement en janvier.

À propos de ce qui s'est passé

Le 6 septembre 2023, un fichier de configuration disponible sur Internet a été identifié. Le fichier de configuration lui-même ne contenait pas de données personnelles. Cependant, le fichier a permis de contourner les mesures de sécurité mises en place et d'accéder à une base de données dans une application web, où les données des clients étaient visibles. Les données ne peuvent pas être modifiées ou altérées dans l'application web. Le fichier de configuration est devenu disponible car le développement de l'application s'est déroulé en dehors des systèmes informatiques et des procédures établies de DFDS. L'erreur a été corrigée immédiatement et l'accès externe a donc été fermé.

Quelles sont les données concernées

La base de données concernée contenait des listes d'adresses avec le nom du client, le numéro de téléphone professionnel et l'adresse e-mail professionnelle. Il contenait en outre une liste des détails de la facture, notamment le numéro de la facture, la date d'échéance et le montant, ainsi qu'un accès à l'e-mail envoyé au client au format HTML.

Ce que nous avons fait jusqu'à présent

Lorsque la faille a été découverte, l'accès externe à l'application a été immédiatement fermé. En outre, l'Agence danoise de protection des données1 a été informée de l'incident.

Quel est l'impact sur les clients concernés

Nous estimons que le risque d'exposition pour nos clients est faible, mais puisque les données pourraient être utilisées pour le spear phishing, tendance actuelle des tentatives de piratage, nous souhaitons vous informer du risque potentiel, de manière à vous permettre de prendre les précautions qui s'imposent.

Pour toute question ou préoccupation concernant les événements survenus ou pour obtenir de plus amples informations, n'hésitez pas à contacter notre équipe GDPR à l'adresse suivante gpdr@dfds.com

La protection de la vie privée de nos clients est une de nos principales préoccupations. Nous faisons tout ce que nous pouvons pour garantir la sécurité de toutes les données. Dans le cas présent, une base de données a été créée en dehors de notre système informatique et nous n'avons donc pas réussi à protéger la vie privée de nos clients de manière satisfaisante, ce qui n'est pas acceptable. Nous vous présentons nos excuses et prenons toutes les mesures appropriées pour garantir que de tels incidents de sécurité des données ne se reproduisent plus.

Protégez-vous contre le spear phishing

Une attaque typique de spear phishing est souvent envoyée à quelques personnes sélectionnées au sein d'une entreprise, généralement par e-mail. L'e-mail ressemble à un e-mail officiel et tente d'obtenir un paiement pour une facture antérieure ou falsifiée. Il peut également viser à amener la personne ciblée à fournir d'autres informations, par exemple son nom d'utilisateur ou son mot de passe, par le biais de liens fournis dans l'e-mail.

Pour se protéger du spear phishing :
  • Soyez particulièrement attentif aux e-mails concernant les paiements ou les factures.

  • N'utilisez pas l'adresse électronique ou le numéro de téléphone fournis dans l'e-mail, puisqu'il pourrait s'agir d'une tentative de spear phishing. Utilisez les informations de contact dont vous disposez déjà.

  • Soyez attentif aux e-mails et aux appels téléphoniques de personnes vous demandant vos coordonnées (en particulier des données telles que votre date de naissance, votre adresse résidentielle, votre e-mail, votre nom d'utilisateur ou vos mots de passe, souvent utilisés pour vérifier votre identité).

En cas de doute, n'hésitez pas à contacter directement votre interlocuteur DFDS, par e-mail ou par téléphone, pour confirmer l'information.