Pepsi a subi une violation de données

Posted On 27 Fév 2023

Pepsi Bottling Ventures LLC a subi une violation de données causée par une intrusion dans son réseau d’une durée de 27 jours ! Le pirate a installé un logiciel malveillant. Mission du hacker, extraction de données.

Pepsi Bottling Ventures est le plus grand embouteilleur de boissons Pepsi-Cola aux États-Unis, responsable de la fabrication, de la vente et de la distribution du concurrent de Coca Cola. PBV LLC exploite 18 installations d’embouteillage en Caroline du Nord et du Sud, en Virginie, au Maryland et au Delaware.

L’entreprise a découvert qu’un pirate était dans ses murs numérique depuis 27 jours.

Dans le document légal lié aux incidents de sécurité déposé auprès du bureau du procureur général du Montana, la société explique que la violation s’est produite le 23 décembre 2022. Mais ce n’est que le 10 janvier 2023, soit 18 jours plus tard, qu’elle a été découverte.

« Sur la base de notre enquête préliminaire, une partie inconnue a accédé à [nos systèmes informatiques internes] le ou vers le 23 décembre 2022, a installé des logiciels malveillants et téléchargé certaines informations contenues sur les systèmes informatiques consultés » a pu lire ZATAZ dans l’avis. « Nous avons pris des mesures rapides pour contenir l’incident et sécuriser nos systèmes. Alors que nous continuons à surveiller nos systèmes pour détecter toute activité non autorisée, la dernière date connue d’accès non autorisé au système informatique était le 19 janvier 2023.«

Comme le rappel le Service veille ZATAZ, aucune violation de données n’est petite si elle inclut vos propres données personnelles !

Les pirates n’ont besoin d’avoir de la chance qu’une seule fois !

Sur la base des résultats de l’enquête interne de Pepsi à ce jour, les informations suivantes ont été impactées :
Nom et prénom
Adresse du domicile
Informations sur le compte financier (y compris les mots de passe, les codes PIN et les numéros d’accès)
Numéros d’identification et numéros de permis de conduire délivrés par l’État et le gouvernement fédéral
Cartes d’identité
Numéros de sécurité sociale (SSN)
Informations sur le passeport
Signatures numériques
Informations relatives aux avantages sociaux et à l’emploi (réclamations d’assurance maladie et antécédents médicaux)

On ne sait toujours pas combien de personnes ont été touchées par la violation de données et si les informations concernées comprennent des clients et/ou des employés.

L’aspect le plus préoccupant de cette situation concerne l’intervalle de temps entre le moment où l’attaque a eu lieu et le moment où Pepsi Bottling Ventures a réussi à l’identifier. Les cybercriminels ont eu près de trois semaines d’accès aux données sans que personne ne soit au courant de leur compromission.

Voici les étapes à suivre pour signaler les incidents de sécurité

Dans sa partie Blog, Veille ZATAZ vous propose de réagir face à un incident de sécurité ou d’une fuite de données pouvant vous concerner. Parmi les nombreuses étapes proposées : contacter le Délégué à la Protection des Données (DPD), informer la CNIL dans les 72 heures ou encore informer les personnes affectées, et contacter les autorités.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.