L’enseigne de pharmacie, DisChem a révélé qu’un « incident » mettant en cause un fournisseur ou opérateur a exposé les dossiers personnels de millions de clients.

Le fournisseur n’a pas été nommé mais dans un communiqué, DisChem annonce avoir subi une « probable cyberattaque ». D’après le groupe, aucune donnée médicale, financière ou bancaire n’était répertoriée dans la base de données et il affirme que « toutes les actions nécessaires ont été mises en place immédiatement pour isoler la menace ».

L’incident a été mis en lumière par une note publiée sur le site de DisChem en respect de la section 22 du POPI Act. Il affecte plus de 3,7 millions de clients et a révélé les noms, prénoms, email et numéros de portable.

On pouvait lire les déclarations suivantes dans le communiqué du retailer pharmaceutique : « D’après les types de données personnelles impactées, il existe une possibilité que ces informations soient utilisées sans autorisation par des tiers pour commettre d’autres activités criminelles » « Par exemple, elles pourraient être recoupées avec d’autres informations corrompues dans d’autres cyber attaques de tiers ». « Il ne semble pas à ce jour que ces informations aient été publiées ou utilisées après l’incident » « Cependant, nous ne pouvons pas garantir que cela reste le status quo »

D’après DisChem, l’emploi d’un fournisseur en charge de construire une base de données, contenant certaines informations personnelles, aurait mené à l’attaque. « Le 1^er mai, nous avons remarqué qu’un tiers non autorisé avait accès à notre base de données. Dès que nous avons été alertés, nous avons immédiatement commencé l’enquête et nous nous sommes assurés de mettre en place toutes les étapes nécessaires afin d’éviter ces incidents dans le futur. »

Le fournisseur aurait mis en place « des mesures de sécurité supplémentaires » pour protéger et sécuriser les informations dans la base de données.

Source: Duncan McLeod, 11 mai 2022, Techcentral