Le constructeur automobile vient de notifier ses clients et prospects d’une fuite des données d’une base marketing d’un de ses prestataires. Un tiers non autorisé a eu accès aux informations, sensibles pour certaines, de 3,3 millions de personnes.
Vendredi dernier, Volkswagen a informé de nombreux clients et acheteurs potentiels de ses véhicules que leurs données ont été exposées sur Internet. Le constructeur allemand révèle qu’un tiers non autorisé « avait obtenu certaines informations personnelles », ce dont il a été alerté le 10 mars dernier. Lançant dans la foulée une enquête, l’entreprise a reçu la confirmation de cette violation de données en mai.
La base de données ne vient pas directement de Volkswagen mais d’un de ses prestataires en Amérique du Nord. Y étaient stockées des informations recueillies à des fins de vente et de marketing entre 2014 et 2019. « Le fournisseur a laissé des données électroniques non sécurisées à un moment donné entre août 2019 et mai 2021 » explique le groupe allemand, qui ne mentionne pas le nom de ce fournisseur, sinon qu’il « fournit des services à Audi, Volkswagen et certains concessionnaires autorisés liés aux activités de vente et de marketing numériques ».
Deutsche Qualität
Pendant près d’un an, la base de données était donc exposée sur la Toile. Sont concernés 3,3 millions de clients et de prospects, dont 163 000 Canadiens, selon les estimations de Volkswagen. La majeure partie des données exposées comprennent des informations telles que les noms et prénoms, l’adresse email, l’adresse postale et le numéro de téléphone. Dans certains cas, les numéro d'identification, marque, modèle, année, couleur et finitions des véhicules achetés ou loués ont également fuité.
Plus inquiétant, des informations relatives à l’éligibilité d’un acheteur potentiel étaient également contenues dans cette base. Il s’agit là de numéros de permis de conduire, de dates de naissance, de numéros de sécurité sociale ou d'assurance sociale, de numéros de compte ou de prêt et de numéros d'identification fiscale. Tout ce qu’il faut pour monter une attaque basée sur l’ingénierie sociale. 90 000 personnes aux Etats-Unis sont ainsi concernées.
« Audi et Volkswagen continuent d'enquêter sur cette affaire et travaillent avec diligence pour fournir des informations à jour et garantir que des services de protection appropriés sont offerts aux clients concernés et aux acheteurs intéressés » écrit le constructeur automobile, qui ajoute travailler avec des experts en cybersécurité pour évaluer la situation et affirme avoir déjà pris des dispositions pour résoudre le problème côté fournisseur.