Que s’est-il passé ?

Veuillez noter que la présente affaire repose sur un incident réel. Afin de protéger l’identité des parties concernées, des noms fictifs sont utilisés pour désigner les sociétés et les personnes concernées.

Un restaurant qui propose des commandes en ligne a été informé d’un incident de sécurité informatique chez l’un de ses fournisseurs de logiciels. Ce fournisseur exploite la plateforme QuickEatery, que le restaurant utilise pour le système de commande, l’administration et le paiement, entre autres.

L’opérateur de QuickEatery a découvert un accès non autorisé aux données des clients. Des informations personnelles telles que les noms, les adresses e-mail et, dans certains cas, des données sensibles, y compris les quatre derniers chiffres des cartes de crédit stockées dans le système, ont été affectées. Le prestataire de QuickEatery a ensuite informé tous les clients d’entreprise concernés, y compris le restaurant mentionné.

Cependant, l’incident a été causé par la faute d’un tiers. Les criminels ont accédé aux données d’accès de la plateforme QuickEatery grâce au comportement négligent d’un employé d’un cabinet comptable externe. Ce dernier a tenté de se connecter à la plateforme pour vérifier les paiements entrants et les factures de l’opérateur de QuickEatery. Comme cela n’a pas fonctionné, elle a cherché en ligne un moyen alternatif de s’enregistrer – et l’a trouvé.

Dans ce processus, elle est tombée sur un site web qui ressemblait trompeusement à celui d’origine de QuickEatery, mais qui avait été manipulé par des assaillants. Les identifiants saisis y étaient transmis directement aux acteurs malveillants.