Piratage informatique : un document de justice affiche le piratage de CBS et Paramount

Posted On 28 Déc 2023

Tag: National Amusements, paramount leak

National Amusements, la société mère de CBS et Paramount, a signalé une violation de données datant de 2022 an qui a touché 82 128 personnes.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Décidément, la Paramount, filiale comme CBS, de National Amusements ne finit pas de gérer des piratages et des fuites de données. Septembre 2023, je vous expliquait comment des pirates informatiques avaient visité les serveurs de l’entreprise entre mai et juin 2023. L’information avait fuité dans certains espaces surveillés par le Service Veille ZATAZ. Un piratage confirmé par un plainte auprès du procureur général du Massachusetts.

Décembre 2023, on prend les mêmes et on recommence ! Une déclaration légale de la maison mère de la Paramount, National Amusements, au procureur général du Maine, indique un piratage datant de décembre 2022 ! Une obligation d’alerter les autorités comme l’impose la loi sur la protection des données numériques de l’État (loi de 2005). National Amusements n’a pas encore fait de commentaire public sur cette intrusion en dehors de la déclaration légale, et il n’est pas clair si des données de clients (ou uniquement des employés) ont été volées.

366 jours aprés la cyber attaque !

Selon la notification de violation de données du Maine, le piratage a eu lieu il y a plus d’un an, du 13 au 15 décembre 2022. Elle précise que 82 128 personnes ont été affectées, dont 64 résidents du Maine. C’est le vice-président principal des ressources humaines de National Amusements qui a déposé cet avis, ce qui pourrait suggérer (mais sans confirmer) que la violation était principalement, voire entièrement, liée aux données internes des employés. La déclaration indique que l’entreprise a commencé à informer les personnes concernées, par écrit, le 22 décembre 2023, soit 372 jours après la violation.

« Vers le 15 décembre 2022, National Amusements a pris connaissance d’une activité suspecte sur son réseau informatique », lit-on dans la lettre de notification adressée aux victimes. « Nous avons immédiatement pris des mesures pour sécuriser notre réseau et minimiser toute perturbation de nos opérations.«

Cependant, cette dernière phrase contient une incohérence, car la notification publiée par le bureau du procureur général du Maine indique la « date de découverte de la violation » comme étant le 23 août 2023. Cela suggère que l’entreprise n’était pas au courant de l’intrusion avant huit mois après les faits, ce qui ne correspond pas vraiment à l’idée d’une action « immédiate ».

Selon la déclaration, les pirates ont eu accès à des informations financières, notamment des « numéros de compte ou de carte de crédit/débit (en combinaison avec le code de sécurité, le code d’accès, le mot de passe ou le NIP du compte)« . National Amusements a indiqué dans la notification du Maine qu’elle offrait aux victimes 12 mois de surveillance de crédit et de services de protection contre le vol d’identité pour les clients dont les numéros de sécurité sociale ont été compromis. Super ! Les pirates vont donc attendre 366 jours avant de s’en servir. Les personnes piratées auront oublié, dans 1 an et 1 jour qu’elles ne sont plus assurées.

Durant la même période, les pirates du groupe Lockbit s’attaquaient à plusieurs médias Américains.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.