Piratage informatique : un document de justice affiche le piratage de CBS et Paramount

National Amusements, la société mère de CBS et Paramount, a signalé une violation de données datant de 2022 an qui a touché 82 128 personnes.

Décidément, la Paramount, filiale comme CBS, de National Amusements ne finit pas de gérer des piratages et des fuites de données. Septembre 2023, je vous expliquait comment des pirates informatiques avaient visité les serveurs de l’entreprise entre mai et juin 2023. L’information avait fuité dans certains espaces surveillés par le Service Veille ZATAZ. Un piratage confirmé par un plainte auprès du procureur général du Massachusetts.

Décembre 2023, on prend les mêmes et on recommence ! Une déclaration légale de la maison mère de la Paramount, National Amusements, au procureur général du Maine, indique un piratage datant de décembre 2022 ! Une obligation d’alerter les autorités comme l’impose la loi sur la protection des données numériques de l’État (loi de 2005). National Amusements n’a pas encore fait de commentaire public sur cette intrusion en dehors de la déclaration légale, et il n’est pas clair si des données de clients (ou uniquement des employés) ont été volées.

366 jours aprés la cyber attaque !

Selon la notification de violation de données du Maine, le piratage a eu lieu il y a plus d’un an, du 13 au 15 décembre 2022. Elle précise que 82 128 personnes ont été affectées, dont 64 résidents du Maine. C’est le vice-président principal des ressources humaines de National Amusements qui a déposé cet avis, ce qui pourrait suggérer (mais sans confirmer) que la violation était principalement, voire entièrement, liée aux données internes des employés. La déclaration indique que l’entreprise a commencé à informer les personnes concernées, par écrit, le 22 décembre 2023, soit 372 jours après la violation.

« Vers le 15 décembre 2022, National Amusements a pris connaissance d’une activité suspecte sur son réseau informatique », lit-on dans la lettre de notification adressée aux victimes. « Nous avons immédiatement pris des mesures pour sécuriser notre réseau et minimiser toute perturbation de nos opérations.« 

Cependant, cette dernière phrase contient une incohérence, car la notification publiée par le bureau du procureur général du Maine indique la « date de découverte de la violation » comme étant le 23 août 2023. Cela suggère que l’entreprise n’était pas au courant de l’intrusion avant huit mois après les faits, ce qui ne correspond pas vraiment à l’idée d’une action « immédiate ».

Selon la déclaration, les pirates ont eu accès à des informations financières, notamment des « numéros de compte ou de carte de crédit/débit (en combinaison avec le code de sécurité, le code d’accès, le mot de passe ou le NIP du compte)« . National Amusements a indiqué dans la notification du Maine qu’elle offrait aux victimes 12 mois de surveillance de crédit et de services de protection contre le vol d’identité pour les clients dont les numéros de sécurité sociale ont été compromis. Super ! Les pirates vont donc attendre 366 jours avant de s’en servir. Les personnes piratées auront oublié, dans 1 an et 1 jour qu’elles ne sont plus assurées.

Durant la même période, les pirates du groupe Lockbit s’attaquaient à plusieurs médias Américains.