La société Datasport AG a été victime d'un piratage massif. Les données personnelles de «jusqu'à un million d'athlètes» ont été volées, comme l'entreprise suisse l'informe sur son site Internet. Les données seraient depuis peu proposées à la vente sur un forum destiné aux cybercriminels, a rapporté jeudi Inside-IT.
Selon cette enquête, des inconnus vendent environ 1,3 million de données à d'autres cybercriminels. Plus de 900 000 jeux de données concerneraient des Suisses, le reste étant des personnes de pays voisins.
L'entreprise, dont le siège est à Gerlafingen (SO), aurait informé le Préposé fédéral à la protection des données (PFPDT).
Selon le communiqué publié sur le site web de Datasport, les cybercriminels ont frappé le 22 janvier 2024. «A l'époque, nous avons constaté une attaque sur nos systèmes.»
Les dirigeants assurent que:
Cette présentation est – pour le dire prudemment – un peu enjolivée. Les responsables informatiques n'ont en tout cas pas remarqué que le vol de données était bien plus grave qu'ils ne le pensaient initialement.
Jusqu'au 31 janvier, Datasport n'avait, selon ses propres indications, «aucun indice permettant de penser que plus de quelques jeux de données» avaient été touchés. Le site Web de l'entreprise a certes informé de manière transparente sur la cyberattaque à partir du 23 janvier. Mais le réveil brutal a eu lieu plus tard.
Le directeur de Datasport, Thomas Bachofner, a déclaré au portail d'informations informatiques inside-it.ch:
Les responsables avaient donc fait en sorte que les données des utilisateurs stockées dans un centre de données soient également stockées dans un autre centre de données.
Au cours du transfert de données, il y a dû avoir une faille de sécurité peu avant le 23 janvier, explique le CEO, qui assure que:
Inside-IT constate: «Le ou les pirates ont toutefois dû profiter de cette courte fenêtre d'opportunité».
Le directeur général de Datasport tente de relativiser le caractère explosif du vol de données:
Les responsables de Datasport n'étaient pas joignables par téléphone jeudi après-midi. watson a posé la question par e-mail. Une réponse est attendue.
Le communiqué publié sur le site de Datasport indique que les «personnes potentiellement concernées» n'ont rien à faire.
Néanmoins, les sportifs amateurs qui ont participé à de tels événements doivent désormais être particulièrement vigilants.
Il est recommandé d'être «encore plus vigilant que ce n'est malheureusement déjà le cas», selon Datasport, et de ne pas ouvrir d'e-mails ou de SMS suspects, par exemple.
Jeudi après-midi, un rédacteur de watson a envoyé une demande en ce sens par e-mail à Datasport. Ceci parce qu'il fait probablement partie des personnes concernées - en tant qu'ancien participant au marathon de ski de l'Engadine. L'entreprise piratée a réagi dans les 70 minutes par un e-mail de réponse standardisé. On y lit ceci:
L'entreprise poursuit: «A notre connaissance, vos données peuvent être potentiellement concernées». Il pourrait s'agir des données suivantes:
L'Office fédéral de la cybersécurité (Ofcom) informe sur son site web sur le phishing et d'autres attaques qui menacent en rapport avec des données volées.
Selon ses propres indications, Datasport s'occupe chaque année de plus de 300 manifestations «dans les domaines de la course à pied, de la marche, du cyclisme, du VTT, du roller, du triathlon/duathlon, du ski de fond et du ski alpin». En tant que prestataire global, l'entreprise est «responsable de la gestion des données, des inscriptions, de l'encaissement, du chronométrage, du service des résultats, des systèmes de speaker et d'information ainsi que de la diffusion des informations».
(Traduit et adapté par Chiara Lecca)
