Le géant des télécommunications britannique TalkTalk a confirmé qu'il enquête sur une violation de données après qu'un pirate informatique a revendiqué avoir volé les informations personnelles de millions de clients.
Dans un post sur un forum de cybercriminalité populaire vu par TechCrunch, un individu utilisant l'alias «b0nd» a affirmé avoir volé les données personnelles de plus de 18,8 millions d'abonnés actuels et anciens de TalkTalk. Ces données, que l'acteur de la menace propose à la vente, comprennent supposément les noms des clients, adresses e-mail, adresses IP, numéros de téléphone et codes PIN des abonnés.
Dans une déclaration à TechCrunch, la porte-parole de TalkTalk, Liz Holloway, a confirmé que l'entreprise enquête sur la violation de données, mais a déclaré que le chiffre de 18,8 millions revendiqué par le pirate informatique est «totalement inexact et très significativement exagéré».
TechCrunch comprend que TalkTalk compte actuellement environ 2,4 millions de clients.
«Dans le cadre de notre surveillance régulière de la sécurité, étant donné notre attention constante à la protection des données personnelles des clients, nous avons été informés d'un accès inattendu et d'une utilisation abusive d'un système de l'un de nos fournisseurs externes», a déclaré Holloway à TechCrunch. «Notre équipe de réponse aux incidents de sécurité continue de travailler avec le fournisseur concernant cette affaire et des mesures de protection ont été prises immédiatement.»
Holloway a refusé de nommer le fournisseur externe, mais les captures d'écran partagées par b0nd suggèrent que les données ont été volées à partir de la plateforme Ascendon de CSG, que TalkTalk utilise pour la gestion des abonnements.
Dans une déclaration envoyée à TechCrunch, la porte-parole de CSG, Kristine Østergaard, a déclaré que l'entreprise a appris qu'une «partie externe a eu accès non autorisé aux données d'un seul fournisseur résidant sur une plateforme de CSG» le 21 janvier. Cependant, elle a ajouté que la CSG n'a «aucune preuve» que ses systèmes ont été compromis ou que la CSG était à l'origine de la violation de TalkTalk.
TechCrunch comprend que les détails personnels d'un petit sous-ensemble de clients de TalkTalk sont stockés dans Ascendon. Holloway a confirmé à TechCrunch que «aucune information de facturation ou financière n'était stockée sur ce système».
TalkTalk a précédemment été condamné à payer une amende de 400 000 livres après une violation de données en 2015 au cours de laquelle des pirates ont volé les données personnelles de 157 000 clients, y compris certaines informations financières. Le Commissaire à l'information du Royaume-Uni a déclaré à l'époque que TalkTalk n'avait pas mis en place «les mesures de cybersécurité les plus élémentaires», permettant aux pirates de «pénétrer ses systèmes avec facilité».
Mis à jour avec un commentaire de CSG.
