Un tiers de plus donne accès aux joyaux de la couronne de ses clients

Un seau Amazon S3 mal configuré a entraîné la divulgation par le vendeur de bijoux Walmart MBM Company de 1,3 million d'enregistrements de clients. Les informations ont été divulguées parce que le seau a été laissé ouvert et accessible à toute personne qui le trouvait. Le seau contenait des informations personnelles et de compte, des détails de paiement, des mots de passe en texte clair et d'autres informations. Il n'a pas encore été déterminé si d'autres clients de MBM - HSN, Amazon, Overstock, Sears, Kmart et Target - ont également été touchés.

C'est devenu un thème récurrent : Un tiers ne parvient pas à sécuriser correctement un seau Amazon, ou dans certains cas à employer des mesures de sécurité même médiocres, et les informations des clients sont ouvertement divulguées en ligne. MBM est-elle à blâmer ici ? Très certainement. Walmart est-il responsable ici ? Absolument. Les autres clients de MBM devraient-ils être inquiets ? Sans aucun doute. Il peut être difficile pour une entreprise de vérifier comment un fournisseur sécurise correctement ses informations ; cependant, le cryptage des informations sensibles et personnelles devrait toujours être une exigence fondamentale.

Le fait que cela se soit produit sans aucun type de piratage ou de violation rend ces événements encore plus inacceptables. C'est une négligence, pure et simple, que de laisser ouvert un seau S3 contenant ce type d'informations. La question est de savoir comment cela a pu se produire. Manifestement, MBM aurait dû mettre en place de meilleurs contrôles de sécurité opérationnelle, mais qu'en est-il de ses clients ?

La façon dont un tiers protège les données d'une entreprise est l'objectif principal de tous les programmes de risque des tiers. Alors, s'agissait-il d'un échec de MBM à suivre les procédures documentées, ou de l'échec de Walmart à déterminer comment MBM protégeait les données de ses clients ? Nous ne connaîtrons peut-être jamais la réponse à cette question, mais le fait que ces événements se produisent si fréquemment suggère que les entreprises ne prennent pas les mesures appropriées pour déterminer si les fournisseurs protègent correctement les données de leurs clients.

Je comprends que l'évaluation de la conformité des tiers aux contrôles de sécurité des données est une activité complexe et coûteuse. Cependant, la protection des données des clients devrait être une priorité pour tous, qu'ils soient réglementés ou non. Malheureusement, tant que les entreprises ne seront pas prêtes à prendre l'engagement nécessaire pour résoudre ces problèmes, les données des clients continueront à être à risque.