Novembre 2023 : une faille de sécurité informatique chez Infosys a exposé les informations personnelles de 6 millions de personnes
Infosys McCamish Systems LLC a subi l’année dernière une violation externe du système, décrite comme un piratage informatique, qui a eu un impact sur T. Rowe Price Retirement Plan Services et plusieurs autres clients d’Infosys, selon une notification déposée auprès du bureau du procureur général du Maine lundi, modifiant un dossier du 27 juin.
Selon le dernier rapport, 6 078 263 personnes ont été touchées par la violation, qui a exposé des informations personnelles telles que les numéros de sécurité sociale, les dates de naissance, les adresses e-mail, les noms d’utilisateur et les mots de passe, les numéros de permis de conduire et de passeport, les données biométriques et les informations sur les comptes financiers. Plus de 11 000 résidents du Maine ont été touchés, selon le rapport. Infosys est un fournisseur tiers de T. Rowe Price, qui soutient ses opérations commerciales et d’entreprise. Il fait également office de fournisseur de services d’assurance.
Obtenez plus ! Inscrivez-vous aux newsletters PLANSPONSOR.
PLANSPONSOR a signalé la violation en novembre concernant T. Rowe Price et certains autres fournisseurs, puis a signalé que les systèmes étaient revenus en ligne en décembre.
Un porte-parole de T. Rowe Price a déclaré que la société de gestion des dossiers avait examiné les données, communiqué avec les clients non qualifiés concernés et leur avait offert la possibilité de s’inscrire aux envois postaux effectués par IMS aux personnes concernées. Les envois postaux à ces personnes concernées ont été effectués le 23 août et le nom de T. Rowe Price a été ajouté par IMS à ses dépôts réglementaires dans certains États, comme il est d’usage.
« Les systèmes de T. Rowe Price n’ont pas été compromis par l’incident survenu à l’IMS et aucune donnée n’a été exfiltrée des systèmes de T. Rowe Price », a déclaré le porte-parole.
Outre T. Rowe Price, la notification de violation a fait état d’un impact sur New York Life Group Benefit Solutions, selon le dossier déposé lundi, et sur Oceanview Life and Annuity Co., selon un autre dossier déposé le 27 juin. Ces sociétés n’ont pas immédiatement répondu à une demande de commentaires. Principal Life Insurance Co., Vanguard et Prudential Insurance Co. of America avaient également été signalées comme étant touchées par la violation, mais ces sociétés n’ont pas immédiatement répondu aux demandes de commentaires.
Selon le dossier déposé lundi, Infosys a pris connaissance du fait que ses systèmes étaient cryptés par un ransomware le 2 novembre 2023. Le même jour, elle a lancé une enquête avec l’aide d’experts en cybersécurité tiers, engagés par l’intermédiaire d’un avocat externe, pour déterminer la nature et la portée de l’activité. Infosys a informé les forces de l’ordre et a déclaré que l’incident avait depuis été « contenu et résolu ».
L’enquête a déterminé qu’une activité non autorisée a eu lieu entre le 29 octobre 2023 et le 2 novembre 2023 et que les données ont fait l’objet d’un accès et d’une acquisition non autorisés.
Dans la notification aux participants concernés, Infosys a déclaré qu’elle fournirait 24 mois de services de surveillance gratuits par l’intermédiaire de la société de conseil en risques Kroll. Infosys a également indiqué qu’elle n’avait connaissance d’aucun cas depuis l’incident dans lequel des informations personnelles auraient été utilisées de manière frauduleuse.
Source link