Mackenzie : des données de clients ont été exposées

InvestorCOM, un fournisseur de Placements Mackenzie, a vu ses données être exposées lorsque des pirates informatiques ont ciblé un service de transfert de fichiers sécurisé.

Certains clients de Placements Mackenzie ont vu des renseignements personnels, mais pas des avoirs ou des soldes de comptes, être révélés à des pirates informatiques lors d’une cyberattaque plus tôt cette année, a déclaré la société le 2 mai.

En janvier, Fortra LLC, basée au Minnesota, a découvert que des pirates informatiques avaient créé des comptes d’utilisateurs non autorisés avec des clients de son service de transfert de fichiers géré, GoAnywhere, qui est présenté comme un moyen sécurisé d’envoyer des données sensibles. L’un de ces clients était le fournisseur de logiciels torontois InvestorCOM Inc., un fournisseur de Placements Mackenzie.

Les pirates ont pu télécharger des fichiers, a déclaré Fortra dans un article de blog en avril. The Logic a rapporté l’incident lundi.

« Après avoir reçu un avis d’InvestorCOM, nous avons immédiatement pris des mesures pour commencer une enquête judiciaire complète », a écrit un porte-parole de Placements Mackenzie dans un courriel envoyé à Investment Executive. « Grâce à notre enquête, nous avons récemment découvert que des renseignements personnels d’investisseurs actuels et d’anciens investisseurs étaient concernés partie de cet incident. Les informations financières, telles que les avoirs des clients et les soldes des comptes n’ont pas été exposées.

L’incident n’a pas affecté les avoirs des investisseurs dans les fonds Mackenzie, a déclaré la société, et elle n’a constaté aucune preuve d’utilisation inopportune des données.

« Nous avons commencé à envoyer des avis aux investisseurs touchés avec des informations plus détaillées, incluant les mesures complètes que nous prenons et le soutien que nous fournissons pour les protéger. Cela comprend la surveillance du crédit pour une période de deux ans qui inclue des alertes de surveillance du crédit, des services de protection contre le vol d’identité, de l’aide aux victimes de fraude et une assurance contre le vol d’identité », a déclaré Mackenzie.

InvestorCOM a refusé de commenter la situation au-delà du communiqué de presse émis le 1er mai, qui indiquait que la société avait récemment pris connaissance de l’incident de cybersécurité de Fortra, qui a été contenu.

Fortra a appris l’incident pour la première fois le 30 janvier, a déclaré le fournisseur dans un courriel envoyé par l’intermédiaire de son agence de presse.

« Nous avons immédiatement pris plusieurs mesures pour remédier à cette vulnérabilité, y compris la mise en œuvre d’une interruption de service temporaire pour empêcher toute autre activité non autorisée », indique le communiqué. « À mesure que nous progresserons à la suite de cet événement, nous examinerons nos pratiques opérationnelles et notre programme de sécurité pour nous assurer d’en sortir plus forts en tant qu’organisation. »

Le Commissariat à la protection de la vie privée du Canada a déclaré mardi qu’il était au courant de l’affaire et qu’il « communiquait avec les organisations pour obtenir plus d’informations et déterminer les prochaines étapes ».

Le nouvel organisme d’autoréglementation observe également la situation. « À notre connaissance, aucun autre cabinet membre est un client direct de GoAnywhere. Cependant, nous surveillons la situation et examinons la portée potentielle de la violation qui a été commise », a déclaré Stephanie Teodoridis, spécialiste principale des affaires publiques et des communications d’entreprise au sein du nouvel OAR, dans un courriel.