Walt Disney Co. a fait l’objet d’un recours collectif accusant le géant du divertissement basé à Burbank de négligence, de rupture de contrat implicite et d’autres fautes liées à une violation massive de données survenue plus tôt cette année.
Le plaignant Scott Margel a déposé une plainte jeudi devant la Cour supérieure du comté de Los Angeles contre Disney et Disney California Adventure. Le document de 32 pages accuse également l’entreprise d’avoir violé la loi sur les dossiers clients et la loi sur la confidentialité des informations médicales en ne faisant pas assez pour prévenir ou informer les victimes de l’ampleur de la fuite.
Les membres du groupe, estimés à plusieurs milliers, sont décrits dans la plainte comme des individus qui ont fourni des « informations personnelles hautement sensibles » à Disney en relation avec leur emploi dans l’entreprise – des informations qui auraient été compromises lors de la violation.
Les représentants de Disney n’ont pas immédiatement répondu vendredi à la demande de commentaires du Times.
Le procès cite un article publié en septembre par le Journal de Wall Streetqui a rapporté qu’un groupe de piratage connu sous le nom de NullBulge a rendu publiques des données couvrant plus de 18 800 feuilles de calcul, 13 000 PDF et 44 millions de messages internes envoyés via la plateforme de communication sur le lieu de travail Slack.
Selon le Journal, les messages Slack compromis contenaient des informations sensibles appartenant aux employés des croisières Disney, notamment des numéros de passeport, des détails de visa, des lieux de naissance et des adresses physiques ; tandis qu’au moins une feuille de calcul répertoriait les noms, adresses et numéros de téléphone de certains passagers de Disney Cruise Line. La publication plus tard signalé que Disney prévoyait de cesser d’utiliser Slack suite à la violation.
Le demandeur et les membres du groupe « restent, même aujourd’hui, dans l’ignorance quant aux données particulières qui ont été volées, au logiciel malveillant particulier utilisé et aux mesures prises, le cas échéant, pour sécuriser leurs données. [personal information] à l’avenir », indique la plainte.
Le demandeur et les membres du groupe « doivent donc spéculer sur l’endroit où leur [data] a fini, qui l’a utilisé et à quelles fins potentiellement néfastes.
En juillet, NullBulge a déclaré avoir divulgué environ 1,2 téraoctets de données Disney pour réprimander le traitement réservé aux artistes par l’entreprise, « son approche de l’IA » et son « mépris assez flagrant pour le consommateur ». Les hacktivistes autoproclamés ont déclaré à CNN qu’ils avaient pu pénétrer dans le système de Disney grâce à « un homme ayant accès à Slack et qui possédait des cookies ».
Un porte-parole de Disney a déclaré à l’époque dans un communiqué que la société « enquêtait sur cette affaire ».
Margel exige que Disney prenne des mesures pour renforcer son système de sécurité et informer les membres du groupe sur les risques associés à la violation. Le plaignant demande également des dommages-intérêts non précisés et un procès devant jury.