Shopify concède une (petite) fuite de données causée par deux « employés rebelles »
« Shopify a pris connaissance d'un incident impliquant les données de moins de 200 marchands. » Le 22 septembre, l'entreprise, qui permet à près d'un million de vendeurs d'éditer leur site d'e-commerce en quelques clics, a communiqué sur son forum communautaire au sujet d'un incident interne.
Après une courte première enquête, elle a conclu que deux employés (« employés rebelles », selon ses termes) de son équipe d'assistance client essayaient d'obtenir les fichiers de plusieurs marchands -- et elle est parvenue à les arrêter avant qu'ils ne puissent se saisir d'un grand nombre. « Cet incident n'est pas le résultat d'une vulnérabilité technique dans notre plateforme, et la vaste majorité des marchands qui utilisent Shopify ne sont pas affectés », insiste le groupe dans son communiqué.
À l'intérieur des fichiers clients volés aux marchands se trouvent des « informations basiques » selon Shopify : des noms, des adresses, des adresses email, ou encore le détail des commandes. Les données bancaires des clients, en revanche, sont épargnées. L'entreprise a précisé qu'à cette étape précoce de l'enquête, elle n'avait trouvé aucune preuve que les données ont été utilisées. Elle a par ailleurs déjà commencé à prendre contact avec les vendeurs concernés.
Shopify a immédiatement coupé les deux employés de tout accès à son réseau. Le groupe travaille désormais avec « le FBI et d'autres agences internationales », pour enquêter sur ce qu'elle n'hésite pas à nommer « des actes criminels ».
Contre les fuites humaines, les entreprises limitent les accès
L'humain est connu pour être un maillon faible de la chaîne de sécurité. Ici, Shopify s'en sort à moindres frais, avec à peine 200 clients affectés sur plus d'un million. Si elle ne précise pas comment elle a limité l'impact de la fuite, elle pourrait avoir suffisamment restreint l'accès des employés aux données clients, ou établi un système de contrôle correct. Par exemple, en août, l'entreprise américaine de livraison de nourriture Instacart avait communiqué sur la fuite des données de plus de 2 000 clients, également causée par deux employés de son service d'assistance client. Elle s'en était rendu compte après avoir détecté que les deux individus « avaient regardé plus de profils que ce qui était nécessaire dans le cadre de leurs fonctions ».
En revanche, quand l'accès aux données des clients est mal contrôlé ou trop peu limité, ce genre d'incident peut frôler la catastrophe. En mai, un employé de Roblox avait été soudoyé par un malfaiteur, qui avait ainsi pu accéder aux données de plus de 100 millions d'utilisateurs, dont celles de stars du jeu vidéo. En juillet, c'est un autre scénario qui avait mené Twitter au piratage de plusieurs comptes parmi les plus suivis de sa plateforme. Un hacker de 17 ans avait réussi à obtenir les identifiants d'un des employés de Twitter. Dans la suite de l'enquête, le réseau social avait concédé que 20% de ses employés avaient un niveau d'accès très élevé à la modération des comptes de la plateforme.
Dans tous les cas, le meilleur moyen pour éviter ces fuites causées par les employés est... d'avoir des employés loyaux, entraînés contre les cybermenaces. En août, un employé de Tesla a été contacté par un cybercriminel, qui voulait le payer un million de dollars en échange du déploiement d'un malware sur le système de l'entreprise. L'employé a refusé, puis a collaboré avec son employeur et les forces de l'ordre pour démonter la tentative du malfaiteur.