Les cyberattaques discrètes sont sans doute les plus douloureuses. Cette fois c'est au tour de l'embouteilleur de produits Pepsi-Cola en Amérique du Nord d'en faire les frais. Le groupe a annoncé avoir été touché par une intrusion sur ses systèmes d'information le 23 décembre 2022. Un malware de la famille des voleurs de données (stealer) a été installé et des données ont été aspirées à l'insu total du groupe qui n'a découvert le pot aux roses que le 19 janvier dernier. Des pirates ont ainsi eu près d'un mois - une éternité - pour subtiliser une grande variété d'informations.
« Pepsi BV accorde de la valeur à vos données privées et regrette profondément l'incident qui s'est produit », a indiqué la société. « Pepsi mène une enquête approfondie sur les enregistrements et systèmes potentiellement concernés. La sécurité de vos informations personnelles est d'une importance maximale pour nous ». Aucune précision n'a été apportée concernant l'ampleur de ce hack et le nombre d'individus (salariés et/ou clients) touchés. Pepsi Bottling Ventures est le plus grand embouteilleur privé de produits Pepsi-Cola en Amérique du Nord, exploitant 18 installations d'embouteillage et de distribution qui desservent plus de 8 millions de consommateurs en Caroline du Nord, en Caroline du Sud, en Virginie, au Maryland et au Delaware.
Le risque d'usurpation d'identité couvert à hauteur d'1M$ par victime
Dans son alerte d'incident de sécurité, Pepsi BV a listé la nature des données tombées dans les mains des pirates et celles-ci s'avèrent très variées : prénoms et noms (incluant ceux des parents et de naissance), adresses postales, e-mails, informations bancaires (incluant des mots de passe et des codes PIN), des identifiants et numéros de permis de conduire, de cartes d'identité, de permis de conduire et de passeports. Mais aussi des signatures numériques ou encore des données médicales et d'assurance santé.
Compte tenu de la situation et de la sensibilité des données hackées, Pepsi BV a d'ores et déjà annoncé des mesures pour venir en aide aux victimes. Ces dernières se voient donc proposer pendant un an les services de Kroll spécialisé dans l'analyse et l'atténuation des risques. Cela inclut notamment la surveillance des opérations bancaires et de crédit, le monitoring d'activité web, la couverture à hauteur d'1 M$ en cas d'usurpation d'identité...