L’exploitant de dépanneurs Wawa a accepté de payer plus de 8 millions de dollars à six États et au district de Columbia pour régler une violation de données de 2019 qui a touché 34 millions de cartes de paiement utilisées dans les magasins du leader des magasins Mid-Atlantic dans le New Jersey, la Pennsylvanie, le Delaware, le Maryland, la Virginie, la Floride et DC. Le règlement a été annoncé à la fin du mois dernier par les procureurs généraux des juridictions où la violation s’est produite.
Entre avril et décembre 2019, des pirates ont déployé des logiciels malveillants pour accéder aux données sensibles des clients à partir du système de sécurité de Wawa. Les juridictions impliquées ont accusé le détaillant basé à Wawa, en Pennsylvanie, de ne pas avoir utilisé de mesures de sécurité raisonnables qui auraient empêché la violation du pirate.
Les noms des titulaires de carte, les numéros de carte de crédit et les dates d’expiration ont été exposés. Cependant, il a été déterminé que les renseignements de carte de débit, les numéros d’identification personnels (NIP), les numéros CVV de carte de crédit et les données du permis de conduire n’étaient pas touchés. Environ 850 emplacements Wawa et plus de 30 millions d’ensembles d’enregistrements de paiement ont été touchés, et Wawa a reconnu qu’à la fin d’avril 2019, des logiciels malveillants étaient présents sur la plupart de ses systèmes de paiement de dépanneurs.
Le règlement du mois dernier est le troisième plus important en cas de violation de carte de crédit, derrière le règlement de 18,5 millions de dollars de Target avec 47 États en 2017 et le règlement de 17,5 millions de dollars de Home Depot avec 46 États en 2020. L’argent reçu sera utilisé pour couvrir les frais de litige et pour soutenir les efforts des États en matière d’application de la loi sur la protection des consommateurs.
La Pennsylvanie et le New Jersey recevront les règlements les plus importants (environ 2,5 millions de dollars chacun), suivis de la Floride (environ 1,1 million de dollars), de la Virginie (environ 682 000 dollars), du Maryland (environ 483 000 dollars), du Delaware (environ 450 000 dollars) et de Washington, DC (environ 16 000 dollars).
« Ce règlement est aussi important pour les mesures de cybersécurité renforcées qu’il exige que pour les dollars que Wawa doit payer », a déclaré le procureur général par intérim du New Jersey, Matthew Platkin. « Lorsque les entreprises ne parviennent pas à maintenir des systèmes de sécurité des données solides ou à former leurs employés à reconnaître les ouvertures Web suspectes, on peut compter sur des pirates informatiques criminels pour intervenir et exploiter la situation. Ce règlement devrait servir de message à l’industrie que nous sommes sérieux au sujet de la responsabilisation des entreprises lorsqu’elles ne protègent pas les renseignements personnels sensibles des consommateurs.
« Le règlement d’aujourd’hui aidera à protéger les renseignements personnels des Pennsylvaniens à l’avenir et tiendra Wawa responsable de la violation de données qui s’est produite sous leur surveillance. Grâce à ce travail, Wawa adoptera de nouvelles politiques d’entreprise pour dissuader les violations de données à l’avenir », a déclaré Jose Shapiro, procureur général de Pennsylvanie.
Peu de temps après l’annonce de la violation, un recours collectif a été déposé qui a depuis été résolu. Dans ce règlement, les clients devaient recevoir 9 millions de dollars (principalement en cartes-cadeaux) et Wawa a accepté d’investir 35 millions de dollars pour améliorer sa cybersécurité. Un montant supplémentaire de 3,2 millions de dollars a finalement été ajouté à ce total pour couvrir les frais et dépenses juridiques.
Dans le cadre de l’accord de Wawa avec les procureurs généraux des six États et de DC où il exploite des magasins, le détaillant sera désormais tenu de maintenir un programme complet de sécurité de l’information conçu pour protéger les renseignements personnels sensibles des consommateurs; offrir les ressources nécessaires à la mise en œuvre complète du programme de sécurité de l’information de l’entreprise; fournir une sensibilisation appropriée à la sécurité et à la protection de la vie privée à tout le personnel qui a des responsabilités clés pour la mise en œuvre et la surveillance du programme de sécurité de l’information; utiliser des mesures de sécurité spécifiques en ce qui concerne la journalisation et la surveillance, les contrôles d’accès, la surveillance de l’intégrité des fichiers, les pare-feu, le cryptage, les évaluations complètes des risques, les tests d’intrusion, la détection des intrusions et la gestion des comptes fournisseurs; et suivre le protocole des règlements antérieurs de violation de données de l’État et se soumettre à une évaluation de la sécurité de l’information après le règlement qui, en partie, évaluera sa mise en œuvre du programme de sécurité de l’information convenu.
