Fuite de données A1 Hrvatska
L'opérateur mobile croate A1 Hrvatska a révélé un accès non autorisé à une base de données clients exposant les noms, numéros d'identification personnels, adresses et numéros de téléphone d'environ 200 000 abonnés — soit près de 10 % de sa base de clients.
- Victime
- A1 Hrvatska
- données
- 200.0K
- utilisateurs
- 200.0K
En février 2022, l'opérateur mobile croate A1 Hrvatska — membre du groupe A1 Telekom Austria — a révélé qu'un attaquant avait obtenu un accès non autorisé à l'une de ses bases de données clients, exposant les données personnelles d'environ 200 000 abonnés, soit près de 10 % de sa base de clients.
Ce qui s'est passé
A1 Hrvatska a indiqué avoir détecté l'accès non autorisé à une seule base de données utilisateurs et avoir « immédiatement et sans délai empêché tout accès non autorisé ultérieur » dès la découverte de l'intrusion. Une équipe d'investigation informatique a analysé les journaux système pour déterminer l'étendue de la compromission. L'entreprise n'a pas confirmé publiquement le vecteur exact d'intrusion ; la presse a noté qu'une mauvaise configuration ou des identifiants volés figuraient parmi les causes plausibles, mais aucune méthode définitive n'a été révélée.
La base de données consultée contenait :
- Les noms complets
- Les numéros d'identification personnels (l'OIB croate)
- Les adresses physiques
- Les numéros de téléphone
A1 Hrvatska a souligné que les détails des cartes bancaires et les identifiants de comptes en ligne n'ont pas été compromis, la base de données concernée ne stockant pas ces informations.
Réponse
L'entreprise a directement notifié les clients concernés, déposé une plainte pénale auprès de la police de Zagreb, et déclaré avoir mis en place des mesures de sécurité supplémentaires et continuer à investir dans son infrastructure de sécurité. L'autorité croate de protection des données, AZOP, a confirmé avoir été informée de la fuite et examiner l'incident dans le cadre du régime de notification obligatoire des violations prévu par le RGPD.
Pourquoi c'est important
La fuite A1 Hrvatska a été l'un des plus importants incidents de données personnelles divulgués en Croatie, exposant une combinaison — nom, numéro d'identification national (OIB) et adresse — particulièrement utile pour l'usurpation d'identité et la fraude ciblée. L'OIB est en particulier un identifiant persistant utilisé dans les services publics et financiers croates, ce qui rend son exposition plus dommageable qu'un mot de passe divulgué pouvant simplement être réinitialisé.
L'affaire a mis en évidence les obligations que les opérateurs télécoms assument au titre du RGPD en tant que dépositaires de grands volumes de données citoyennes : détection rapide, notification prompte des régulateurs et des personnes concernées, et transparence sur ce qui a été exposé ou non. Elle demeure un point de référence dans les débats croates sur la manière dont les opérateurs sécurisent les bases de données d'abonnés et réagissent lorsque ces défenses échouent.
Chronologie
A1 Hrvatska détecte un accès non autorisé à l'une de ses bases de données clients et agit pour bloquer tout accès ultérieur.
A1 Hrvatska divulgue publiquement la fuite touchant environ 200 000 clients, soit près de 10 % de sa base.
A1 Hrvatska dépose une plainte pénale auprès de la police de Zagreb et commence à notifier directement les clients concernés.
L'autorité croate de protection des données (AZOP) confirme avoir été informée et examiner l'incident.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/croatian-phone-carrier-data-breach-impacts-200-000-clients/
- securityaffairs.comhttps://securityaffairs.com/127919/data-breach/a1-hrvatska-data-breach.html
- telecompaper.comhttps://www.telecompaper.com/news/a1-hrvatska-suffers-data-breach-after-hacker-attack--1413691
- databreaches.nethttps://databreaches.net/2022/02/12/croatian-phone-carrier-a1-hrvatska-discloses-data-breach/