Les fuites de données sont courantes. A cette occasion, ils étaient les clients de Endesa Énergie ceux qui ont commencé à recevoir ce matin une communication urgente de l’entreprise concernant ce problème. La compagnie d’électricité a confirmé la détection d’un incident de sécurité qui a permis à des tiers d’accéder illégalement à sa plateforme commerciale, compromettant la confidentialité d’une partie de sa base d’utilisateurs.
Selon les informations fournies dans le message lui-même, l’attaque a réussi à briser les barrières de sécurité, permettant aux attaquants de visualiser et potentiellement d’exfiltrer un ensemble de données personnelles très sensibles. Parmi les informations compromises figurent données d’identification de base, coordonnées, numéros d’identification et les détails liés au contrat énergétique.
Le point le plus critique de cette fuite est la confirmation que le moyen de paiementcomme l’IBAN, auraient également pu être exposés. Cependant, Endesa a tenu à préciser qu’en aucun cas les identifiants d’accès ou les mots de passe du compte utilisateur n’ont été compromis, de sorte que l’accès direct à l’espace client par les cybercriminels ne serait pas possible avec les données volées.
Alerte maximale contre d’éventuelles campagnes de phishing
Après avoir détecté l’intrusion, l’entreprise a activé ses protocoles de sécurité, bloquant les utilisateurs compromis et en informant le Agence espagnole de protection des données (AEPD)conforme à la réglementation en vigueur. Même si les opérations de l’entreprise se poursuivent normalement, le risque est désormais transféré à l’utilisateur final.
Endesa assure qu’à ce jour, il n’existe aucune preuve d’utilisation frauduleuse de ces données. Cependant, la combinaison du nom, de la pièce d’identité et du numéro de compte bancaire constitue le terrain idéal pour vol d’identité. Les experts avertissent que les clients concernés doivent faire preuve d’une extrême prudence lorsqu’ils sont confrontés à des e-mails, SMS ou appels téléphoniques qui semblent provenir de la compagnie d’électricité ou d’entités bancaires, car les attaquants pourraient utiliser des données réelles pour valider des escroqueries d’ingénierie sociale. L’entreprise recommande de se méfier de toute communication demandant des données sensibles et de signaler toute anomalie à la Police.
Ci-dessous, nous reproduisons la déclaration complète envoyée par Endesa aux clients concernés :
Cher client,
Pour Endesa Energía SA (« Endesa Energía »), la protection de la confidentialité et la sécurité des données personnelles que nous traitons constituent un engagement prioritaire, ainsi que la transparence dans la communication de tout aspect pertinent à cet égard.
En ce sens, nous avons le regret de vous informer qu’Endesa Energía a détecté un incident de sécurité, qui a permis un accès non autorisé et illégitime à sa plateforme commerciale. Cet incident a compromis la confidentialité de certaines données dont Endesa Energía est responsable.
Malgré les mesures de sécurité mises en œuvre par cette société, nous avons détecté des preuves d’accès non autorisés et illégitimes à certaines données personnelles de nos clients liées à leurs contrats énergétiques, parmi lesquels les vôtres. L’enquête actuelle révèle que l’acteur malveillant aurait eu accès et aurait pu exfiltrer de nos systèmes les données d’identification de base, les données de contact, les DNI et les données liées à son contrat avec Endesa Energía et éventuellement à ses moyens de paiement (IBAN), même si, en aucun cas, les données d’accès par mot de passe n’ont été compromises.
Dès qu’Endesa Energía a eu connaissance de l’incident, les protocoles et procédures de sécurité établis à cet effet ont été activés, ainsi que toutes les mesures techniques et organisationnelles nécessaires pour le contenir, atténuer ses effets et éviter qu’il ne se reproduise dans le futur, permettant ainsi de contenir immédiatement et de manière satisfaisante l’incident détecté et d’empêcher tout accès non autorisé. Ces mesures incluent, sans s’y limiter, le blocage immédiat des utilisateurs dont l’accès est compromis, l’analyse des enregistrements de journaux et la notification de tous les clients dont les données ont été compromises. De même, une surveillance particulière et continue des systèmes est effectuée pour détecter toute activité suspecte. De même, conformément à la réglementation applicable, après une première évaluation de l’incident, Endesa Energía a notifié l’incident aux autorités compétentes, dont l’Agence espagnole de protection des données. L’enquête, tant en interne qu’avec nos fournisseurs, se poursuit pour obtenir une compréhension complète de ce qui s’est passé et prendre toute mesure supplémentaire si nécessaire.
À la date de cette communication, il n’existe aucune preuve d’une utilisation frauduleuse des données concernées par l’incident, ce qui rend peu probable qu’un impact à haut risque sur vos droits et libertés se matérialise. Néanmoins, cet accès non autorisé à vos données par l’acteur malveillant pourrait entraîner sa tentative d’usurper ou d’usurper votre identité, de publier lesdites données avec la perte correspondante de contrôle sur celles-ci, ou de les utiliser pour entreprendre des actions de phishing ou de spam à votre encontre. C’est pourquoi nous vous recommandons de porter une attention particulière aux éventuelles communications suspectes que vous pourriez recevoir dans les prochains jours et de signaler toute anomalie ou méfiance que vous pourriez détecter à cet égard via notre centre d’appels en appelant le numéro de téléphone suivant : 800.760.366.
De même, nous vous recommandons de ne pas fournir de données personnelles ou d’informations sensibles à des personnes que vous ne connaissez pas directement et, en cas de soupçon d’utilisation frauduleuse de vos informations ou données, de les porter à notre connaissance ou à celle des forces et organismes de sécurité de l’État.
Les opérations et les services de l’entreprise fonctionnent normalement et vous pouvez continuer à les utiliser.
Nous nous excusons pour tout inconvénient que cet incident pourrait vous causer et nous réitérons notre engagement en matière de sécurité et de respect des réglementations en matière de protection des données. Dans tous les cas, si vous avez des questions sur ce sujet, vous pouvez contacter le délégué à la protection des données d’Endesa Energía à l’adresse électronique suivante : [email protected]
Si, au cours des prochains jours, nous obtenons des informations complémentaires pertinentes concernant cet incident, nous vous contacterons dans les plus brefs délais.
Sincèrement,
Endesa Énergie
