L'assurance du débiteur a refusé la couverture
Paume faciale : L’une des plus grandes violations de données révélées en 2024 touche à sa fin brutale. Une entreprise qui assurait la vérification des antécédents des entreprises clientes fait faillite, submergée par une vague de poursuites et des ressources financières limitées pour résister à la tempête juridique.
Jerico Pictures, la société de courtage de données opérant sous le nom de National Public Data, a récemment déposé son bilan dans le district sud de la Floride. L'organisation a été compromise par un groupe cybercriminel connu sous le nom de « USDoD », qui a répertorié une énorme quantité d'informations personnelles en vente sur le dark web au prix réduit de 3,5 millions de dollars.
Les pirates affirment que les archives de 277,1 Go qu'ils proposent contiennent des données provenant de 2,9 milliards d'enregistrements, comprenant les noms complets, les adresses actuelles et passées, les numéros de sécurité sociale, les dates de naissance et les numéros de téléphone. Le NPD de Jerico a confirmé plus tard la violation, déclarant que les tentatives d'infiltration de ses serveurs ont commencé en décembre 2023, l'attaque ayant finalement réussi en avril 2024.
Les pirates informatiques de l'USDoD ont passé plusieurs mois à collecter ces données, rassemblant environ trois milliards d'enregistrements liés à des individus aux États-Unis, au Royaume-Uni et au Canada. Initialement, le courtier en données estimait que la violation n'affectait que 1,3 million de personnes, mais a reconnu l'incertitude quant aux chiffres réels alors qu'il continuait à collaborer avec les forces de l'ordre.
Selon des documents judiciaires, NPD estime désormais que des centaines de millions de personnes ont été « potentiellement » touchées par cette violation. L'entreprise fait actuellement face à plus d'une douzaine de poursuites, dont diverses actions collectives et initiatives parrainées par l'État. Sa compagnie d'assurance refusant de s'impliquer, NPD n'a pas les ressources financières nécessaires pour faire face aux poursuites judiciaires ou aux responsabilités potentielles « étendues » qu'elles entraînent.
La Federal Trade Commission et plus de 20 États américains se sont également impliqués, ajoutant des « défis réglementaires » aux problèmes juridiques du NPD. Dans les documents comptables soumis au tribunal des faillites de Floride, Jerico Pictures a répertorié ses actifs, qui comprennent 33 105 $ sur un compte bancaire d'entreprise, deux ordinateurs de bureau HP, un vieil ordinateur portable ThinkPad et quelques serveurs Dell.
La valeur totale de l'entreprise est estimée entre 25 000 et 75 000 dollars, malgré un chiffre d'affaires déclaré de 1 152 726 dollars l'année dernière. Salvatore Verini, Jr., l'unique propriétaire et exploitant de NPD, dirigeait effectivement l'entreprise depuis son bureau à domicile avec un équipement minimal et une poignée de domaines de faible valeur. Le site officiel du NPD reste opérationnel, offrant toujours l'accès au « plus haut niveau de recherche d'informations publiques disponible sur Internet » via son API spécialisée.
Lena Cohen de l'Electronic Frontier Foundation a déclaré que l'incident du NPD met en évidence la nature non réglementée du secteur du courtage de données. « Il s'agit d'une industrie vaste, interconnectée et opaque, avec des centaines d'entreprises dont les gens n'ont jamais entendu dire qu'elles gagnent des milliards de dollars par an en vendant vos données personnelles », a déclaré Cohen. Elle a souligné la nécessité d'une législation plus stricte sur la vie privée pour protéger les données des individus en ligne.