Les ressources humaines, La société de gestion de la paie et des avantages sociaux Sequoia a déclaré dans des déclarations aux clients au début du mois qu’elle avait détecté un accès non autorisé à un référentiel de stockage en nuage contenant un éventail de données sensibles et personnelles liées aux clients Sequoia One de l’entreprise.
Sequoia a informé à la fois ses entreprises clientes et les personnes dont les données pourraient avoir été affectées par la violation, qui, selon la société, s’est produite entre le 22 septembre et le 6 octobre. La société offre aux victimes trois ans de services gratuits de protection de l’identité Experian. Le système cloud piraté de Sequoia a stocké un ensemble de données personnelles sensibles, y compris les noms, adresses, dates de naissance, sexe, état civil, statut d’emploi, numéros de sécurité sociale, adresses e-mail professionnelles, données salariales liées aux avantages et identifiants des membres ainsi que tout d’autres cartes d’identité, les résultats des tests Covid-19 et les cartes de vaccin que les individus ont téléchargées dans le système d’emploi.
“Une partie non autorisée peut avoir accédé à un système de stockage en nuage contenant des informations personnelles”, a écrit la société dans les divulgations des clients et des particuliers. WIRED a examiné des exemples des deux notifications. “Dès que la société a pris connaissance de la situation, un plan d’intervention a été lancé et un certain nombre d’actions immédiates ont été menées, y compris la collaboration avec un avocat externe pour lancer un examen médico-légal par Dell Secureworks… L’examen médico-légal n’a trouvé aucune preuve que la partie non autorisée données mal utilisées ou distribuées.
Sequoia One est une « organisation professionnelle d’employeurs », ou PEO, qui fournit des services externalisés de RH et de paie. La société est populaire auprès des startups car elle rationalise le processus de gestion et d’arbitrage des programmes de base tels que la rémunération, les avantages et l’équité. Sequoia One est populaire auprès des startups américaines et affirme qu’il travaille actuellement avec plus de 500 entreprises financées par du capital-risque.
Lorsque WIRED a demandé à Sequoia combien de personnes avaient vu leurs données exposées et se voyaient proposer des services gratuits de protection de l’identité, Kristin Schaeffer, vice-présidente des relations publiques de la société de communication AMF Media Group, a refusé de commenter au nom de la société. “Pour le moment, nous nous concentrons et communiquons uniquement avec nos clients”, a-t-elle déclaré.
Les divulgations indiquent que Dell Secureworks n’a pas trouvé de logiciels malveillants sur les systèmes de Sequoia, n’a pas vu de preuve d’une tentative d’extorsion de données, n’a trouvé aucun ordinateur ou serveur compromis dans l’infrastructure de Sequoia et n’a pas vu de preuve d’un accès non autorisé continu aux systèmes de l’entreprise. Sequoia souligne qu’elle n’a détecté aucune utilisation ou diffusion des données jusqu’à présent.
“Un accès non autorisé à des informations dans un système de stockage en nuage s’est produit entre le 22 septembre et le 6 octobre 2022”, a écrit la société. “L’accès était en ‘lecture seule’ et rien ne prouve que la partie non autorisée ait modifié les données du client.”
Pourtant, il est courant pour les pirates ou même leurs systèmes automatisés de trouver et de gratter des systèmes de stockage en nuage non sécurisés, et les données volées peuvent mettre du temps à apparaître.
« Sequoia One est très populaire auprès des startups ; les deux derniers pour lesquels j’ai travaillé les utilisaient », explique le chercheur en sécurité open source Jonathan Leitschuh, qui a été informé cette semaine que ses données avaient été compromises dans la violation. “Honnêtement, je n’ai pas été surpris lorsque j’ai reçu la notification par courrier, pas à cause de Sequoia en particulier, je suis juste dans l’espace de sécurité depuis assez longtemps pour savoir que ce n’est qu’une question de temps.”
Leitschuh note qu’après trois ans, la surveillance gratuite du vol d’identité prendra fin, mais son numéro de sécurité sociale et de nombreuses autres données personnelles resteront les mêmes.
“Avec des tiers comme Sequoia avec lesquels d’autres contractent, l’utilisateur final ne peut pas vraiment se retirer ou changer quoi que ce soit à la relation s’il veut le travail”, dit-il. “Mais vous ne savez pas comment ces entreprises défendent ces données à long terme.”