La société médiatique Comcast a accepté de payer une amende de 1,5 million USD après qu’une violation de données de fournisseurs a révélé des informations appartenant à des milliers de ses clients. La faille s’est produite au sein des systèmes de Financial Business and Consumer Solutions, une agence de recouvrement qui gérait auparavant les comptes clients pour Comcast. Le fournisseur a subi une intrusion en février 2024, ce qui a permis aux attaquants d’accéder à des fichiers contenant des informations personnelles. Les données exposées comprenaient des noms, adresses, dates de naissance, numéros de sécurité sociale et numéros de compte internes utilisés par Comcast.
Comcast a déclaré que ses propres systèmes n’avaient pas été compromis. La violation s’est limitée aux données stockées par le fournisseur. L’entreprise avait mis fin à sa relation avec le fournisseur en 2022, mais le fournisseur continuait de conserver des données clients qui auraient dû être supprimées. L’intrusion a été signalée à Comcast en juillet 2024, plusieurs mois après son survenue. Au moment de la divulgation, le vendeur avait déposé le bilan, ce qui a encore compliqué la réponse. Les régulateurs ont déterminé que les données clients n’avaient pas été retirées de l’environnement du fournisseur malgré la fin de la relation commerciale.
La Federal Communications Commission a annoncé l’accord et a déclaré que Comcast devait mettre en place une surveillance plus stricte des prestataires tiers qui gèrent les dossiers clients. Selon les termes du règlement, Comcast nommera un responsable de conformité chargé de surveiller les pratiques relatives aux données des fournisseurs. L’entreprise effectuera également des audits réguliers des fournisseurs et soumettra des rapports de conformité au régulateur tous les six mois pendant trois ans. De plus, Comcast doit s’assurer que les données clients sont supprimées lorsqu’elles ne sont plus requises à des fins professionnelles.
La violation a touché environ 237 000 clients actuels et anciens. Les enregistrements compromis provenaient des services Comcast, notamment internet, télévision et sécurité domestique. Les informations exposées pourraient permettre à des acteurs malveillants de commettre des vols d’identité, de créer des comptes frauduleux ou de tenter des arnaques ciblées. Comcast a contacté les personnes concernées et leur a conseillé de surveiller leurs comptes pour toute activité suspecte. Elle a également averti les clients de ne pas répondre aux messages non sollicités demandant des informations personnelles ou un paiement.
Comcast a déclaré avoir accepté les termes du règlement mais ne pas reconnaître de faute. L’entreprise a déclaré s’engager à améliorer la gestion des fournisseurs et à protéger les données des clients. L’incident a conduit à une révision de la manière dont les données sont traitées une fois transférées à des prestataires de services externes. Comcast a indiqué qu’il mettait à jour ses politiques internes pour exiger une vérification plus stricte que les fournisseurs suppriment les informations clients à la fin des contrats.
L’affaire met en lumière les risques liés au stockage de données par des tiers. Même lorsqu’une entreprise maintient des contrôles de sécurité stricts sur ses propres systèmes, les informations clients stockées par des fournisseurs externes peuvent être exposées si ces fournisseurs ne mettent pas en place des protections adéquates. Les régulateurs ont encouragé les entreprises à fixer des exigences claires pour les fournisseurs, y compris des audits réguliers et des procédures documentées de suppression des données. Le non-respect peut entraîner des amendes, une perte de confiance des clients et des dommages à la réputation à long terme.
Les clients dont les informations ont pu être exposées sont encouragés à traiter les messages inattendus avec prudence et à continuer de surveiller leurs comptes financiers. Les voleurs d’identité peuvent tenter d’utiliser des données personnelles exposées pour ouvrir des comptes ou se faire passer pour des victimes. Les clients peuvent également envisager d’utiliser des outils de surveillance de crédit et de placer des alertes de fraude dans leurs dossiers de crédit s’ils remarquent une activité suspecte.
L’accord souligne l’importance d’une surveillance stricte lorsque les informations clients sont partagées avec des organisations externes. Les entreprises qui traitent de grands volumes de données personnelles doivent s’assurer que tous les partenaires respectent les mêmes normes de sécurité. Les conséquences d’une violation de fournisseur peuvent affecter à la fois les clients et l’entreprise responsable des données.