Le vishing est impliqué dans deux des trois violations contre les filiales coréennes de grandes marques de luxe, touchant plus de 5 millions de clients au total.
L’autorité sud-coréenne de protection des données a infligé un total de 36 milliards KRW (environ 25 millions de dollars) d’amendes administratives aux filiales locales de trois maisons de luxe mondiales, après avoir constaté qu’elles n’avaient pas mis en œuvre des contrôles de sécurité de base lors de la gestion des données des clients via une plateforme SaaS.
La Commission de protection des informations personnelles (PIPC), le principal régulateur de la vie privée de Corée du Sud, a annoncé le 12 février qu’elle avait imposé un total de 36,033 milliards KRW d’amendes et 10,8 millions KRW de sanctions supplémentaires contre Louis Vuitton Corée, Christian Dior Couture Corée et Tiffany Corée pour violations de la loi nationale sur la protection des informations personnelles (PIPA). Le régulateur a également ordonné aux trois sociétés de divulguer publiquement les mesures coercitives sur leurs sites Web.
Le PIPC a noté que les données en question – les informations personnelles appartenant à des clients coréens – étaient collectées et traitées au niveau national par les filiales locales, ce qui les plaçait clairement sous la juridiction de PIPA.
Louis Vuitton a imposé la sanction la plus lourde, soit 21,385 milliards KRW. Dans ce cas, l’appareil d’un employé était compromis par un logiciel malveillant, permettant aux acteurs malveillants de récolter les informations d’identification du compte SaaS. La violation a entraîné la divulgation de données personnelles appartenant à environ 3,6 millions de personnes lors de trois incidents distincts entre le 9 et le 13 juin de l’année dernière. Bien qu’elle utilise la plateforme SaaS depuis 2013, Louis Vuitton Corée n’a jamais mis en œuvre de restrictions d’accès basées sur IP ni appliqué une authentification plus forte pour l’accès à distance.
Christian Dior Couture Corée a été condamné à une amende de 12,236 milliards KRW, plus 3,6 millions KRW supplémentaires de pénalités. Dans le cas de Dior, un représentant du service client a été victime d’une attaque de phishing vocal (vishing) et a directement fourni un accès SaaS à l’attaquant, entraînant l’exposition des données personnelles d’environ 1,95 million de personnes. L’entreprise n’avait pas réussi à appliquer des contrôles d’accès basés sur IP, n’avait pas restreint l’utilisation d’outils d’exportation de données en masse et n’avait pas procédé à des examens mensuels des journaux d’accès – des manquements qui ont permis à la violation de passer inaperçue pendant plus de trois mois. Le PIPC a également confirmé que Dior n’avait pas respecté le délai légal de 72 heures pour informer les autorités et les personnes concernées une fois la violation découverte.
Tiffany Korea a été condamnée à une amende de 2,412 milliards KRW et à des pénalités supplémentaires de 7,2 millions KRW. Le vecteur d’attaque reflétait celui de Dior : un employé du service client a été socialement manipulé via un programme de vishing et a accordé à l’attaquant des privilèges d’accès, ce qui a entraîné la compromission des informations personnelles d’environ 4 600 personnes. Tiffany manquait également de contrôles d’accès basés sur IP et de restrictions de téléchargement groupé, et n’a pas signalé la violation dans le délai requis de 72 heures.
Le PIPC a souligné que les environnements SaaS utilisés pour traiter les données personnelles sont considérés comme des « systèmes de traitement d’informations personnelles » en vertu de la loi coréenne. En tant que telles, les organisations doivent appliquer le principe du moindre privilège, mettre en œuvre des contrôles d’accès basés sur IP et déployer des mécanismes d’authentification forts, notamment des mots de passe à usage unique, des certificats numériques ou des jetons de sécurité matériels.
« L’adoption d’une solution Software-as-a-Service n’exempte ni ne transfère l’obligation d’une entreprise de protéger les informations personnelles », a déclaré le PIPC dans son communiqué officiel. « Les contrôleurs de données doivent exploiter pleinement les fonctionnalités de sécurité fournies par ces plateformes pour prévenir les violations. »
