Un tiers de plus donne accès aux joyaux de la couronne de ses clients

Un autre grand détaillant subit une violation de données due à l'un de ses fournisseurs. Il est temps pour le secteur de la distribution de prendre au sérieux la gestion des risques liés aux fournisseurs.
Par :
Brad Keller
,
JD, CTPRP
22 mars 2018
Partager :
Joyaux de la couronne autrichienne Rois et Reines 2581063 1024 768

Un seau Amazon S3 mal configuré a entraîné la divulgation par le vendeur de bijoux Walmart MBM Company de 1,3 million d'enregistrements de clients. Les informations ont été divulguées parce que le seau a été laissé ouvert et accessible à toute personne qui le trouvait. Le seau contenait des informations personnelles et de compte, des détails de paiement, des mots de passe en texte clair et d'autres informations. Il n'a pas encore été déterminé si d'autres clients de MBM - HSN, Amazon, Overstock, Sears, Kmart et Target - ont également été touchés.

C'est devenu un thème récurrent : Un tiers ne parvient pas à sécuriser correctement un seau Amazon, ou dans certains cas à employer des mesures de sécurité même médiocres, et les informations des clients sont ouvertement divulguées en ligne. MBM est-elle à blâmer ici ? Très certainement. Walmart est-il responsable ici ? Absolument. Les autres clients de MBM devraient-ils être inquiets ? Sans aucun doute. Il peut être difficile pour une entreprise de vérifier comment un fournisseur sécurise correctement ses informations ; cependant, le cryptage des informations sensibles et personnelles devrait toujours être une exigence fondamentale.

Le fait que cela se soit produit sans aucun type de piratage ou de violation rend ces événements encore plus inacceptables. C'est une négligence, pure et simple, que de laisser ouvert un seau S3 contenant ce type d'informations. La question est de savoir comment cela a pu se produire. Manifestement, MBM aurait dû mettre en place de meilleurs contrôles de sécurité opérationnelle, mais qu'en est-il de ses clients ?

La façon dont un tiers protège les données d'une entreprise est l'objectif principal de tous les programmes de risque des tiers. Alors, s'agissait-il d'un échec de MBM à suivre les procédures documentées, ou de l'échec de Walmart à déterminer comment MBM protégeait les données de ses clients ? Nous ne connaîtrons peut-être jamais la réponse à cette question, mais le fait que ces événements se produisent si fréquemment suggère que les entreprises ne prennent pas les mesures appropriées pour déterminer si les fournisseurs protègent correctement les données de leurs clients.

Je comprends que l'évaluation de la conformité des tiers aux contrôles de sécurité des données est une activité complexe et coûteuse. Cependant, la protection des données des clients devrait être une priorité pour tous, qu'ils soient réglementés ou non. Malheureusement, tant que les entreprises ne seront pas prêtes à prendre l'engagement nécessaire pour résoudre ces problèmes, les données des clients continueront à être à risque.

Tags :
Partager :
Brad Keller
JD, CTPRP
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo