Le propriétaire de la chaîne de salons de machines à sous Dotty’s Nevada Restaurant Services (NRS) a révélé une violation de la vie privée qui a exposé les données biométriques des clients et d’autres informations personnellement identifiables (PII).
NRS n’a pas précisé combien de personnes avaient leurs IPI exposées, mais la société a confirmé que les données piratées comprenaient des numéros de sécurité sociale, des numéros de permis de conduire ou des numéros d’identification d’État et des numéros de passeport.
De plus, des numéros de compte financier et d’acheminement, des informations sur l’assurance maladie, des informations sur les traitements, des données biométriques, des dossiers médicaux, des numéros d’identification fiscale et des numéros de carte de crédit et leurs dates d’expiration ont été inclus dans la violation.
Bien que les données relatives à la carte de paiement et à l’âge soient probablement nécessaires au fonctionnement conforme des machines à sous, l’inclusion des dossiers médicaux soulève des questions sur la nécessité de stocker toutes les données violées.
Selon un « Avis d’événement de confidentialité des données » rapport posté par NRS le 3 septembre, la brèche s’est produite en janvier de cette année.
À la suite d’une enquête menée par NRS, la société a déterminé qu’elle avait été victime d’une cyberattaque et qu’un acteur non autorisé était « en mesure de copier certaines informations du système au plus tard le 16 janvier 2021 ».
Les clients potentiellement touchés par la violation ont été contactés par NRS via des lettres de notification, la société mettant en place un numéro de téléphone pour les personnes qui n’ont pas fourni leurs adresses postales ou reçu une lettre de notification.
NRS a également offert des services gratuits de protection de l’identité aux clients protégés par la violation, mais a en même temps précisé que l’utilisation d’un gel du crédit pour contrôler qui a accès aux informations personnelles et financières du rapport de solvabilité peut interférer avec l’approbation de prêts, de crédit, d’hypothèque ou de tout autre compte impliquant l’extension de crédit.
À l’avenir, NRS a confirmé avoir mis en place des « mesures de sécurité pour protéger ses systèmes et les informations en sa possession » et « a travaillé pour ajouter des garanties techniques supplémentaires à son environnement ».
Le type spécifique de données biométriques incluses dans la violation n’est pas spécifié dans la notification, et un lien vers la politique de confidentialité de l’entreprise n’est pas fourni sur la page d’accueil de Dotty.
Des États tels que la Caroline du Sud ont mis à jour leurs lois sur la protection des données afin d’inclure des exigences de notification plus strictes et de traiter spécifiquement des données biométriques.
Toute l’actualité en temps réel, est sur L’Entrepreneur
