700Credit a révélé une violation de données qui a révélé des informations personnelles sensibles liées au financement de véhicules aux États-Unis. L’entreprise fournit des services de reporting de crédit et de conformité à des milliers de concessionnaires automobiles et de prêteurs à travers le pays. Selon les divulgations réglementaires, un accès non autorisé à ses systèmes a entraîné la copie de dossiers consommateurs contenant des données hautement sensibles. La violation a affecté les informations traitées au nom des concessionnaires impliqués dans le financement automobile, de camping-car, de sports motorisés et maritime.
L’incident a été identifié après la détection d’une activité suspecte fin octobre 2025. Une enquête a révélé qu’une interface de programmation d’applications tierces connectée à une application web 700Credit avait été compromise. Grâce à cet accès, un attaquant pouvait copier les données des consommateurs stockées sur la plateforme. Les dossiers affectés ont été collectés pendant plusieurs mois avant que l’activité ne soit découverte et contenue.
700Credit a indiqué que les informations exposées comprenaient des noms, adresses, dates de naissance et numéros de sécurité sociale. L’entreprise a indiqué qu’il n’y avait aucune indication que son réseau interne principal ait été compromis. Au lieu de cela, les données étaient consultées via l’environnement applicatif connecté. Une fois le problème identifié, 700Credit a déclaré avoir pris des mesures pour sécuriser les systèmes concernés et empêcher tout accès non autorisé supplémentaire.
Les documents réglementaires indiquent que plus de 5,8 millions de personnes ont été touchées. L’entreprise coordonne les notifications au nom de ses clients concessionnaires et prévoit de commencer à envoyer des avis écrits aux personnes concernées en décembre 2025. 700Credit a également indiqué avoir informé les forces de l’ordre et les autorités compétentes de l’incident dans le cadre de sa réponse.
Pour faire face aux risques potentiels, 700Credit propose aux personnes concernées 12 mois de services de surveillance de crédit et de rétablissement d’identité. L’entreprise a indiqué que ces mesures visent à aider à détecter les abus d’informations exposées, telles que le vol d’identité ou les activités frauduleuses de crédit. Les personnes dont les numéros de sécurité sociale étaient impliqués peuvent courir un risque accru car ces données peuvent être utilisées pour ouvrir des comptes frauduleux ou obtenir un financement sous de fausses identités.
Les responsables de l’État ont averti les consommateurs de prendre la violation au sérieux s’ils reçoivent une notification. Les étapes recommandées incluent la révision des rapports de crédit, la mise en alerte de fraude ou de gel de crédit auprès des principales agences de crédit, et de rester vigilant face aux communications imprévues concernant des prêts ou des comptes financiers. Les responsables ont également averti que les données exposées pourraient être utilisées dans des tentatives de phishing faisant référence à des achats automobiles ou à des activités de financement.
L’incident met en lumière les risques persistants liés aux prestataires tiers qui gèrent à grande échelle des données financières sensibles. Les systèmes de financement des concessionnaires traitent souvent de grandes quantités d’informations personnelles, ce qui en fait des cibles attrayantes pour les attaquants. Les spécialistes de la sécurité ont déclaré que les violations impliquant des numéros de sécurité sociale peuvent avoir des conséquences à long terme car les données ne peuvent pas être facilement modifiées.
700Credit a indiqué qu’elle révisait ses pratiques de contrôle de sécurité et de gestion des accès à la suite de la fuite. L’entreprise a déclaré qu’elle œuvrait à renforcer les protections autour des connexions et systèmes de surveillance tiers. Cette affaire s’ajoute à un nombre croissant d’incidents affectant les prestataires de services soutenant des opérations financières et de détail critiques à travers les États-Unis.