Une organisation à but non lucratif au Brésil qui aide les jeunes à trouver des stages a été victime d’une importante violation de données, des attaquants affirmant avoir accédé à environ 546 gigaoctets de dossiers privés. L’organisation, appelée Gerar, met en relation les nouveaux demandeurs d’emploi avec des entreprises et des établissements d’enseignement. La violation a été révélée lorsqu’un message est apparu sur un forum de fuite de données montrant des échantillons de fichiers de jeunes candidats datant de plusieurs années.
Le matériau exposé est profondément sensible. Selon les chercheurs qui ont analysé l’ensemble de données de l’échantillon, la fuite comprend des copies numérisées de rapports d’examen médical, de cartes d’identité, de contrats entre Gerar et les stagiaires, de contrats entre les écoles et les programmes de formation, et même des documents numérisés liés au service militaire pour certains jeunes candidats.
Dans l’ensemble de fichiers d’échantillonnage, les chercheurs ont trouvé des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des numéros d’identification fiscale, des adresses postales, des données sur le revenu familial, des détails sur les antécédents scolaires et d’autres informations personnelles. Ces données à elles seules présentent un risque important d’usurpation d’identité et de fraude.
Étant donné qu’un grand nombre des personnes touchées sont de jeunes adultes qui entrent sur le marché du travail, le risque à long terme est particulièrement élevé. Avec autant de détails personnels exposés, les acteurs malveillants pourraient ouvrir des comptes, demander des prêts ou se faire passer pour des victimes pendant des années. Les chercheurs préviennent que lorsque l’identité d’une personne est compromise au début de sa carrière, cela peut avoir un impact durable sur ses antécédents de crédit et ses possibilités d’emploi.
Gerar propose des formations, des stages et des services de mise en relation pour les jeunes Brésiliens qui entrent sur le marché du travail. Ce faisant, elle collecte d’importants volumes de données personnelles auprès des candidats et des partenaires éducatifs ou employeurs. Ce volume de données sensibles, combiné à moins de protections typiques des programmes destinés aux jeunes ou à but non lucratif, fait d’une telle organisation une cible attrayante.
En compromettant la base de données d’une organisation à but non lucratif comme Gerar, les attaquants accèdent non seulement aux données personnelles brutes, mais aussi aux documents contractuels, aux documents de vérification d’identité et aux diplômes. Tout cela peut être utilisé pour des attaques secondaires telles que le phishing, la création de faux identifiants ou l’usurpation d’identité d’entreprise.
Comment les organisations à but non lucratif peuvent renforcer la protection des données
La violation de Gerar démontre que même les organisations bien intentionnées peuvent devenir des points de défaillance dans l’écosystème plus large de la protection des données. Chaque organisation à but non lucratif qui collecte des données personnelles doit prendre la cybersécurité aussi au sérieux que les grandes entreprises privées.
Cela signifie limiter la quantité de données collectées, les chiffrer dans le stockage et vérifier qui y a accès. Des mises à jour logicielles régulières, des tests d’intrusion et la formation du personnel peuvent également prévenir de nombreuses violations avant qu’elles ne se produisent. Une communication transparente après un incident est tout aussi importante. Les personnes touchées doivent être informées rapidement et recevoir des conseils pratiques pour se protéger.