Pepsi a subi une violation de données

Pepsi Bottling Ventures LLC a subi une violation de données causée par une intrusion dans son réseau d’une durée de 27 jours ! Le pirate a installé un logiciel malveillant. Mission du hacker, extraction de données.

Pepsi Bottling Ventures est le plus grand embouteilleur de boissons Pepsi-Cola aux États-Unis, responsable de la fabrication, de la vente et de la distribution du concurrent de Coca Cola. PBV LLC exploite 18 installations d’embouteillage en Caroline du Nord et du Sud, en Virginie, au Maryland et au Delaware.

L’entreprise a découvert qu’un pirate était dans ses murs numérique depuis 27 jours.

Dans le document légal lié aux incidents de sécurité déposé auprès du bureau du procureur général du Montana, la société explique que la violation s’est produite le 23 décembre 2022. Mais ce n’est que le 10 janvier 2023, soit 18 jours plus tard, qu’elle a été découverte.

« Sur la base de notre enquête préliminaire, une partie inconnue a accédé à [nos systèmes informatiques internes] le ou vers le 23 décembre 2022, a installé des logiciels malveillants et téléchargé certaines informations contenues sur les systèmes informatiques consultés » a pu lire ZATAZ dans l’avis. « Nous avons pris des mesures rapides pour contenir l’incident et sécuriser nos systèmes. Alors que nous continuons à surveiller nos systèmes pour détecter toute activité non autorisée, la dernière date connue d’accès non autorisé au système informatique était le 19 janvier 2023.« 

Comme le rappel le Service veille ZATAZ, aucune violation de données n’est petite si elle inclut vos propres données personnelles !

Les pirates n’ont besoin d’avoir de la chance qu’une seule fois !

Sur la base des résultats de l’enquête interne de Pepsi à ce jour, les informations suivantes ont été impactées :
Nom et prénom
Adresse du domicile
Informations sur le compte financier (y compris les mots de passe, les codes PIN et les numéros d’accès)
Numéros d’identification et numéros de permis de conduire délivrés par l’État et le gouvernement fédéral
Cartes d’identité
Numéros de sécurité sociale (SSN)
Informations sur le passeport
Signatures numériques
Informations relatives aux avantages sociaux et à l’emploi (réclamations d’assurance maladie et antécédents médicaux)

On ne sait toujours pas combien de personnes ont été touchées par la violation de données et si les informations concernées comprennent des clients et/ou des employés.

L’aspect le plus préoccupant de cette situation concerne l’intervalle de temps entre le moment où l’attaque a eu lieu et le moment où Pepsi Bottling Ventures a réussi à l’identifier. Les cybercriminels ont eu près de trois semaines d’accès aux données sans que personne ne soit au courant de leur compromission.

Voici les étapes à suivre pour signaler les incidents de sécurité

Dans sa partie Blog, Veille ZATAZ vous propose de réagir face à un incident de sécurité ou d’une fuite de données pouvant vous concerner. Parmi les nombreuses étapes proposées : contacter le Délégué à la Protection des Données (DPD), informer la CNIL dans les 72 heures ou encore informer les personnes affectées, et contacter les autorités.