Une faille de sécurité majeure a exposé 36 millions de fichiers sensibles de clients de Vivifi, un fournisseur de prêts, en raison d’une mauvaise configuration d’un bucket Amazon S3. Les informations compromises incluent des documents essentiels pour la vérification d’identité, ce qui pourrait faciliter le vol d’identité et la fraude. Bien que des enquêtes soient en cours, les utilisateurs sont conseillés de surveiller leurs comptes et d’adopter des mesures de sécurité renforcées pour protéger leurs données personnelles.
Une application de prêt numérique de premier plan a récemment révélé une faille de sécurité majeure, exposant des informations sensibles de clients en raison d’une configuration inadéquate d’un bucket Amazon AWS S3, laissé sans protection ni authentification. Des experts en cybersécurité de Cybernews ont mis en lumière que Vivifi, un fournisseur de prêts, avait rendu accessibles en ligne pas moins de 36 millions de fichiers contenant des documents de connaissance du client (KYC). Ce type de violation soulève des préoccupations considérables, car les cybercriminels pourraient exploiter ces données pour soumettre des demandes de cartes de crédit, de prêts ou d’ouvertures de comptes bancaires, facilitant ainsi le vol d’identité et la fraude.
Les données compromises incluent des éléments critiques tels que des passeports, des cartes d’identité, des permis de conduire, des factures de services publics, des relevés bancaires et des lettres d’accord de prêt. Voici ce que nous avons appris jusqu’à présent.
Enquête en Cours
La fuite des données a été détectée le 28 novembre 2024, et le bucket concerné n’a été sécurisé qu’à partir du 16 janvier 2025, laissant ainsi une fenêtre d’un mois durant laquelle des individus malveillants auraient pu accéder aux informations. Bien qu’aucune preuve n’ait été trouvée pour indiquer que des données ont été effectivement compromises, seule une enquête judiciaire interne pourra en établir les faits.
Les documents KYC sont cruciaux pour les institutions financières, car ils leur permettent de se conformer aux réglementations en matière de vérification d’identité, d’adresse et de revenus. Malheureusement, ces informations peuvent être utilisées par des cybercriminels pour obtenir des prêts au nom de victimes ou pour mener des attaques d’ingénierie sociale particulièrement trompeuses.
« Les attaquants pourraient, par exemple, exploiter les détails des accords de prêt divulgués ou des informations bancaires pour réclamer des paiements urgents ou demander une vérification de compte », ont commenté les chercheurs de Cybernews.
« Dans certains cas, ces données personnelles peuvent être agrégées et mises en vente sur le dark web, augmentant ainsi le risque et compliquant les efforts des victimes pour protéger leur vie privée et sécuriser leur identité », ont-ils ajouté.
Les violations de données sont devenues une occurrence trop fréquente, et le secteur fintech n’est pas à l’abri. Plus tôt en 2025, la société fintech mexicaine Miio a également subi une attaque similaire, exposant des millions de fichiers sensibles, bien que dans une mesure moins significative que celle de Vivifi.
Risques Accrus pour les Clients
Cette violation de données représente une opportunité alarmante pour les attaquants. Les documents KYC contiennent les informations nécessaires pour faciliter le vol d’identité et la fraude. Grâce à ces données d’identification et aux informations personnellement identifiables (PII), les cybercriminels peuvent facilement obtenir des prêts, des cartes de crédit ou ouvrir des comptes bancaires à votre nom.
Pour vous protéger contre ces menaces, il est essentiel de rester vigilant et de surveiller vos comptes de près. Il existe des solutions de protection contre le vol d’identité pour les individus et les familles, qui surveillent activement votre identité et offrent souvent des garanties d’assurance d’un million de dollars ou plus, ainsi qu’une surveillance du dark web et des protections anti-malware.
Si vous préférez gérer la surveillance vous-même, voici quelques conseils à suivre. Tout d’abord, examinez régulièrement vos relevés bancaires et vos transactions. Si vous repérez une activité suspecte, informez immédiatement votre banque et bloquez ou suspendiez votre carte si possible.
Ensuite, créez des mots de passe robustes pour chacun de vos comptes, en particulier ceux contenant des informations financières, médicales ou sensibles. Si l’un des services que vous utilisez est impliqué dans une violation, changez votre mot de passe sans attendre.
Bien que cela puisse sembler fastidieux, activer l’authentification multi-facteurs (MFA) est une excellente mesure de sécurité supplémentaire pour vos comptes sensibles, et cela s’avère essentiel.
Lorsque des PII sont divulguées, le risque d’attaques d’ingénierie sociale, telles que le phishing, augmente. Les cybercriminels utilisent les données compromises pour cibler les services que vous utilisez régulièrement, vos intérêts, ou même vos relations personnelles.
Ces attaquants peuvent ensuite se faire passer pour une personne de confiance et vous inciter à cliquer sur un lien malveillant, à scanner un code QR, ou à fournir vos informations personnelles. Soyez toujours attentif aux communications inattendues et vérifiez soigneusement l’expéditeur des e-mails. Si vous avez des doutes, évitez de cliquer sur des liens et recherchez l’adresse e-mail légitime ou contactez directement l’entreprise via son site officiel.
N’oubliez pas, votre banque ne vous demandera jamais vos informations bancaires par téléphone ou par e-mail, ni ne vous demandera de transférer des fonds vers un autre compte.