Fuite de données de 4,38 millions de clients via un accès non autorisé, Aflac lance une enquête et des mesures de prévention des récidives
Intrusion d’un tiers sur un site dédié
Aflac Life Insurance a subi un accès non autorisé, entraînant la fuite des données de quelque 4,38 millions de clients. Un tiers s’est introduit sur le site dédié aux assurés et de grandes quantités d’informations ont été consultées pendant 11 jours. Des informations de comptes bancaires étaient également incluses, et les assurés sont invités à vérifier l’absence de transactions suspectes.
Des traces de consultation depuis le 15 juin
L’entreprise a détecté pour la première fois une anomalie le 25 juin. Sur 'Aflac Yorisou Net', qui permet notamment de vérifier les détails du contrat et de changer le titulaire, le système a détecté une charge élevée liée au traitement d’un volume massif d’informations. L’enquête a ensuite montré qu’un utilisateur identifié avait consulté un nombre considérable de pages d’assurés, et qu’un accès avait été maintenu depuis le 15 juin.
Fuite aussi d’informations de comptes et d’agences
Les données divulguées comprennent les noms, adresses, numéros de téléphone, numéros de police et détails de couverture, entre autres. Pour quelque 230 000 personnes, les informations de compte bancaire utilisées pour le prélèvement des primes étaient également incluses. En outre, des adresses et numéros de téléphone d’environ 40 000 agences de vente ont aussi fuité. L’entreprise précise que les données sensibles telles que les antécédents médicaux, les informations de cartes de crédit et le numéro My Number n’étaient pas incluses. À ce stade, aucun usage frauduleux des données personnelles par un tiers n’a été confirmé, ajoute-t-elle.
Les institutions financières renforcent aussi leur vigilance
Les informations divulguées semblent également inclure des données d’assurés ayant déjà résilié leur contrat ou arrivé à échéance. Le site des assurés est actuellement inaccessible, et les signalements de contacts suspects ou de crainte d’opérations frauduleuses sont reçus par le centre d’appel. Si des préjudices financiers ou autres étaient effectivement confirmés, une enquête individuelle serait menée et des demandes de dommages et intérêts seraient également envisagées.
Un simple numéro de compte bancaire ne permet pas à lui seul un retrait frauduleux immédiat, mais si un code secret ou un mot de passe de banque en ligne fuitait, le risque de dommages secondaires augmenterait. La Commission de protection des informations personnelles explique que, lorsqu’une combinaison d’informations de compte bancaire et de mot de passe est divulguée, cela 'peut relever d’une fuite de données personnelles susceptibles d’entraîner un préjudice patrimonial'. Le 30 juin, l’Agence des services financiers a adressé à Aflac une injonction de rapport fondée sur la loi sur l’assurance.
Si cet article vous a été utile, n’hésitez pas à le partager.