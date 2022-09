Une enquête menée par la Calgary Parking Authority, l’agence gérée par la ville qui gère les services de stationnement de la ville, a révélé que les informations personnelles de 145 895 clients ont été exposées pendant au moins deux mois l’année dernière.

C’est une révélation que le président du programme de cybersécurité du Northern Alberta Institute of Technology qualifie de “honteuse” et de “négligente”.

“De nos jours, quelque chose comme ça ne devrait vraiment pas arriver dans les services informatiques”, a déclaré John Zabiuk.

L’année dernière, le site d’actualités de l’industrie technologique Tech Crunch a examiné des journaux contenant des informations de contact telles que les noms complets du conducteur, ses dates de naissance, ses numéros de téléphone, ses adresses e-mail et ses adresses postales.

Le CPA a initialement déclaré que seuls 12 clients avaient leurs données compromises. Mais lundi, il a confirmé que ce chiffre était bien supérieur à 100 000.

“Je voudrais présenter des excuses à nos clients de la Calgary Parking Authority dont les données ont été exposées lors de cet incident”, a déclaré Chris Blaschuk, directeur général par intérim de l’ACP.

“Nous avons mené une enquête médico-légale et déterminé que diverses informations étaient potentiellement à risque.”

La Calgary Parking Authority affirme qu’une enquête médico-légale a révélé la divulgation non autorisée des informations personnelles de plus de 140 000 clients. Il aurait pu divulguer des noms, des e-mails, des informations de plaque d’immatriculation, des adresses résidentielles et plus encore. (Dave Gilson/CBC)

La violation impliquait un serveur de journalisation en ligne non sécurisé accessible si les individus connaissaient son adresse IP publique.

L’autorité de stationnement a déclaré que les données avaient été exposées entre le 13 mai et le 27 juillet, bien que TechCrunch ait signalé l’année dernière qu’elle avait consulté des journaux remontant au moins au début de 2021. CBC News n’a pas consulté ces journaux.

L’autorité de stationnement a été informée de la défaillance de la sécurité fin juillet 2021 et a déclaré qu’elle avait sécurisé les informations dans les 20 minutes suivant la prise de connaissance de l’incident.

L’ACP n’a pas pu dire si des parties externes avaient ou non accédé aux données, ajoutant que sa surveillance n’a pas indiqué qu’elles avaient été utilisées de quelque manière que ce soit jusqu’à présent. Il a également obtenu une « certification Cyber ​​Secure Canada ».

“Une partie de l’enquête a déterminé qu’il y avait un élément d’erreur humaine impliqué dans l’exposition du serveur”, a déclaré Blaschuk. “Nous avons donc définitivement augmenté nos freins et contrepoids avec nos processus internes pour établir des choses telles que des serveurs virtuels.”

Incidences sur la sécurité

L’expert en cybersécurité du NAIT a déclaré que l’incident soulevait un certain nombre de préoccupations pour les Calgariens, en particulier compte tenu de l’accessibilité des données.

“Vous n’auriez pas nécessairement besoin de vous faire dire spécifiquement l’adresse IP, ou de la trouver quelque part sur un forum profond et sombre”, a déclaré Zabiuk.

De nombreuses applications peuvent être utilisées pour analyser Internet afin de rechercher des ports ouverts ou des adresses IP qui répondent, a déclaré Zabiuk, afin de déterminer quels ports répondent sur ces adresses IP, qui indiquent un serveur ou un poste de travail derrière eux. .

“Ces scans se produisent 24 heures sur 24, 7 jours sur 7, tout le temps, sur Internet. Tout enfant qui suit un cours et télécharge un logiciel particulier… il peut scanner tout Internet. Et cela se produit tout le temps. Donc, pour ne pas être au courant de quelque chose comme ça arrive, et laisser un serveur exposé comme ça, c’est vraiment de la négligence.”

John Zabiuk, président du programme de cybersécurité au NAIT, affirme que des violations telles qu’un incident récent à la Calgary Parking Authority devraient être rares, mais se produisent toujours – et cela pose un énorme problème. (Radio-Canada)

Zabiuk a déclaré que cela pose de graves implications, compte tenu des informations telles que les dates de naissance, les informations sur le permis de conduire et d’autres données personnelles exposées dans la violation.

“Les gens pourraient utiliser ces informations pour immatriculer un véhicule sous votre nom … ou simplement rechercher votre numéro de plaque d’immatriculation pour savoir où vous habitez”, a-t-il déclaré.

“Si vous avez reçu une contravention dans ce laps de temps, vous voudriez certainement garder un œil sur les choses et peut-être envisager d’obtenir un nouveau numéro de licence.”