Attaque de pirate informatique contre Trenitalia : certaines données de passagers violées, attention aux e-mails et SMS frauduleux
Trenitalia met en garde les clients concernés : les données relatives aux billets sont exposées, à l'exclusion des paiements et des informations d'identification, mais le risque est désormais le phishing
Un e-mail au sujet bureaucratique, un de ceux qui semblent écrits spécifiquement pour donner envie de les fermer après trois lignes, arrive actuellement chez plusieurs clients Trenitalia. À l’intérieur, cependant, il y a des nouvelles très concrètes : une attaque de pirate informatique contre Trenitalia a conduit à un accès non autorisé à certaines données personnelles liées aux billets de voyage. Selon ce que la compagnie a communiqué aux passagers concernés, l'accident a été provoqué par des « sujets extérieurs non identifiés ».
L'infraction peut avoir concerné le nom, le prénom, la date et le lieu de naissance du passager et de l'éventuel acheteur du billet, ainsi que l'adresse électronique, le numéro de téléphone, l'itinéraire, la date et l'heure du voyage, le numéro du titre de transport, le code de la carte de fidélité, les données de la pièce d'identité, l'employeur et les données techniques liées à la génération du billet, lorsqu'elles sont présentes dans les systèmes associés au voyage. Cependant, selon Trenitalia, les données d'accès au compte, les identifiants personnels et les informations de paiement, donc les numéros de carte, les délais et les codes de sécurité, sont exclus. L'entreprise a déclaré avoir immédiatement activé toutes les mesures de sécurité nécessaires.
Le risque, ce sont désormais les escroqueries ciblées
Le problème passe désormais de la violation à l’éventuelle deuxième vague : des e-mails, SMS ou appels téléphoniques frauduleux construits à partir d’informations de voyage réelles. Un message mentionnant un véritable itinéraire ou un vrai billet acheté peut paraître bien plus crédible qu'une tentative de phishing habituelle. Pour cette raison, il est préférable d'éviter les liens reçus par e-mail ou SMS, de saisir uniquement à partir des canaux officiels de Trenitalia et de ne pas communiquer de mots de passe, codes, coordonnées bancaires ou documents en réponse à des messages inattendus.
Trenitalia a annoncé avoir adopté des mesures pour contenir l'incident, en informant le Garant pour la protection des données personnelles et le CSIRT Italie de l'incident et en déposant une plainte auprès du parquet de Rome. En cas de doute, la référence la plus prudente reste le canal officiel de confidentialité indiqué par Trenitalia, également par l'intermédiaire du délégué à la protection des données, joignable depuis la page Protection des données personnelles.
