En plus d’un grand nombre de violations récentes de données d’entreprise impliquant des données d’Indiens, des millions d’enregistrements de données sur les clients de la chaîne de pizzas Domino auraient été divulgués en ligne.
Selon les tweets du co-fondateur et directeur de la technologie de la société de renseignement sur la cybercriminalité Hudson Rock, Alon Gal, basé en Israël, les données valent 13 téraoctets. Il a tweeté dimanche que les données comprennent jusqu’à 18 millions de détails de commande, y compris les numéros de téléphone, les e-mails, les adresses, les détails de paiement, y compris un million de détails de carte de crédit. Les données, a déclaré Gal, étaient en vente sur le Web sombre et l’acteur de la menace demande 550000 $ pour les données. L’acteur de la menace avait également l’intention de créer un portail de recherche pour permettre la recherche des données, a-t-il ajouté.
Un porte-parole de Dominos India a déclaré : « Jubilant FoodWorks a récemment été confronté à un incident de sécurité de l’information. Aucune donnée relative aux informations financières de toute personne n’a été consultée et l’incident n’a eu aucun impact opérationnel ou commercial. En tant que politique, nous ne stockons pas les données financières les détails ou les données de carte de crédit de nos clients, donc aucune information n’a été compromise. Notre équipe d’experts enquête sur la question et nous avons pris les mesures nécessaires pour contenir l’incident. »
Jubilant FoodWorks est la société mère de Domino’s India.
Rajshekhar Rajaharia, le chercheur en cybersécurité qui a alerté les utilisateurs pour la première fois sur une fuite de données volumineuses chez la société de paiement MobiKwik le mois dernier, a déclaré qu’il avait alerté la branche indienne des cyberincidents de l’équipe gouvernementale d’intervention en cas d’urgence informatique (CERT-In) au sujet de la fuite de données Dominos en mars..
« Encore une fuite de Big Data ! 20 Crore Order Details, y compris 13 TB de données de Domino’s India prétendument divulguées du serveur #DominosIndia. Données Inclut le mobile, l’email, le nom, l’adresse personnelle, le type de paiement et les jetons de connexion sociale. Il semble que les données financières ne soient pas là. #infosec #GDPR « , a tweeté Rajaharia lundi.
Il a ajouté que les données du Domino avaient précédemment été déclarées être en la possession du même pirate informatique qui avait accédé aux données de MobiKwik. « Il semble que le même hacker qui prétendait avoir piraté #Mobikwik avait accès à # Domino’s depuis février 2021. J’avais alerté CERT-IN le 5 mars 2021 à ce sujet. Plus tard, le premier hackeur a vendu l’accès au serveur à un autre revendeur. prévoyant de créer un autre moteur de recherche », a-t-il ajouté.
« Domino’s India se joint à une série d’incidents de piratage impliquant des entreprises indiennes dans un passé récent, notamment Bigbasket, BuyUcoin, JusPay, Upstox et d’autres. Il faut se concentrer davantage sur la cybersécurité – sur la base de nos recherches, en moyenne, une organisation en Inde a été attaqué 1 681 fois par semaine au cours des 6 derniers mois. C’est plus de 2,5 fois plus élevé que la moyenne mondiale de 667 attaques dans le monde », a déclaré Sundar N Balasubramanian, directeur général de Check Point Software Technologies, Inde et SAARC.
La violation présumée chez Domino’s met une fois de plus en évidence le manque de recours juridiques et opérationnels à la disposition des Indiens au cas où leurs données seraient divulguées en ligne.
L’Inde n’a pas encore de législation spécifique traitant des cas de violation de données des utilisateurs ou des actions pénales s’y rapportant. Le projet de loi sur la protection des données personnelles, qui est proposé pour traiter de tels cas de violation de données, est en instance à Lok Sabha depuis 2019.
« Les clients doivent être informés de la violation et fournir des moyens de se protéger contre une future utilisation abusive de leurs données personnelles et de leurs données de carte de crédit. Les organisations en Inde doivent être rendues responsables de telles violations avec des implications financières suffisantes, faisant de la sécurité des données une priorité absolue dans chaque entreprise », a déclaré Sonit Jain, PDG de la société de cybersécurité GajShield Infotech.
La violation de données présumée chez MobiKwik aurait affecté les données de 3,5 millions de ses utilisateurs, exposant des documents de connaissance du client tels que des adresses, des numéros de téléphone, une carte Aadhaar, des cartes PAN, etc. La taille des données était de 8,2 TB. MobiKwik a nié la violation.
Plus tôt ce mois-ci, Facebook et LinkedIn ont également vu des fuites de données de millions d’utilisateurs, y compris des données d’utilisateurs indiens. Alors que les deux ont admis que les données des clients avaient été divulguées, les deux ont déclaré qu’elles n’avaient pas été piratées à partir de leurs systèmes, mais avaient été supprimées. Cela signifie utiliser une application pour extraire des informations précieuses d’un site Web.