Skip to content
Cyber Breaches
Recherche
Ingénierie socialeRésolu

Fuite de données Experian Afrique du Sud (Afrique du Sud, 2020)

Un fraudeur se faisant passer pour un client légitime d'Experian a obtenu les données personnelles de 24 millions de Sud-Africains et de 793 749 entreprises, dans ce qui est devenu l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.

Victime
Experian South Africa
données
24.0M
utilisateurs
24.0M
SecteurFinance
PaysAfrique du Sud

Le 19 août 2020, Experian South Africa — la filiale locale du bureau de crédit mondial — a révélé qu'un individu se faisant passer pour un client légitime avait obtenu les données personnelles de 24 millions de consommateurs sud-africains et de 793 749 entreprises. L'affaire est largement citée comme l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.

Ce qui s'est passé

Il ne s'agissait pas d'une intrusion réseau mais d'une attaque par ingénierie sociale / usurpation d'identité. Une personne s'est présentée comme un client Experian existant et autorisé et a demandé des données — prétendument pour générer des prospects marketing pour des services d'assurance et de crédit. Croyant la demande légitime, Experian a remis les données avant de déterminer ultérieurement que le demandeur était frauduleux.

Une fois la supercherie découverte, Experian a agi rapidement par voie judiciaire. L'entreprise a obtenu et exécuté une ordonnance Anton Piller — un recours civil de perquisition et de saisie — qui lui a permis de saisir le matériel du suspect et de récupérer et supprimer les données détournées. Experian a déclaré avoir identifié l'individu et que les données avaient été sécurisées avant une diffusion plus large.

Impact

  • Les informations personnelles de 24 millions de consommateurs et de 793 749 entreprises ont été exposées.
  • Experian a soutenu qu'aucune information de crédit ou financière des consommateurs et aucune coordonnée bancaire n'avaient été dérobées — principalement des coordonnées et données démographiques, en grande partie décrites comme déjà accessibles publiquement.
  • L'incident a suscité un examen sévère de la part de l'Information Regulator d'Afrique du Sud, qui a publiquement exprimé sa stupeur et mis en cause la conformité de notification d'Experian au titre du POPIA (Protection of Personal Information Act), alors en période de transition vers son application.

Pourquoi c'est important

La fuite Experian Afrique du Sud est un cas d'école de défaillance de la couche humaine chez un courtier en données : l'attaquant n'a jamais eu besoin de contourner des contrôles techniques, car le bureau a volontairement remis les données à quelqu'un qu'il n'a pas authentifié. Elle a mis en lumière le risque systémique des bureaux de crédit détenant de vastes jeux de données à l'échelle de la population et les transmettant à des « clients », et est devenue un test précoce déterminant de l'application du POPIA — poussant les organisations sud-africaines à renforcer les contrôles de vérification des clients et de divulgation des données.

Chronologie

  1. Un individu se faisant passer pour un client légitime d'Experian demande des données, prétendument pour générer des prospects marketing en assurance et crédit.

  2. Experian transmet les données à l'imposteur avant d'identifier la demande comme frauduleuse.

  3. Experian obtient et exécute une ordonnance Anton Piller, saisissant le matériel du suspect et sécurisant les données détournées.

  4. Experian Afrique du Sud divulgue publiquement l'incident : 24 millions de consommateurs et 793 749 entreprises touchés.

  5. L'Information Regulator d'Afrique du Sud critique publiquement la gestion d'Experian et sa conformité de notification au titre du Protection of Personal Information Act (POPIA).

Sources

  1. dataguidance.comhttps://www.dataguidance.com/news/south-africa-experian-south-africa-announces-data
  2. herbertsmithfreehills.comhttps://www.herbertsmithfreehills.com/notes/fsrandcorpcrime/2020-08/experian-exposed-to-south-africas-biggest-ever-data-breach
  3. techtimes.comhttps://www.techtimes.com/articles/251930/20200820/experian-south-africa-confirms-data-breach-24-million-customers-impacted.htm
  4. inforegulator.org.zahttps://inforegulator.org.za/wp-content/uploads/2020/07/ms-20211027-Experian.pdf
  5. iafrikan.comhttps://iafrikan.com/experian-data-breach-end-of-a-chapter/

Incidents liés

Ingénierie socialeContenu

Braquage Pix chez C&M Software (Brésil, 2025)

Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.

Victim
C&M Software (fournisseur d'infrastructure de paiement Pix)
Loss
$148.0M
Ingénierie socialeRésolu

Violation de données de Service NSW

Une campagne d'hameçonnage a compromis 47 comptes de messagerie du personnel de Service NSW, exposant 738 Go de données et environ 3,8 millions de documents ; environ 104 000 clients ont vu leurs informations personnelles, dont des permis de conduire et des certificats de naissance, volées.

Victim
Service NSW
Records
738.0K
Ingénierie socialeRésolu

Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter

Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.

Victim
Twitter, Inc.
Loss
$118.0K