L’agence lituanienne de protection des données a indiqué le 16 septembre 2022 que la néobanque REVOLUT l’avait informée qu’une personne non autorisée avait accédée à sa base de données et que les données à caractère personnelles de 50 150 personnes, dont 20 687 européennes, avaient été dérobées.

Les données subtilisées contiennent notamment les noms des clients, adresses, adresses e-mail, numéros de téléphone, ainsi que « certaines données des cartes de paiement ».

L’autorité a annoncé avoir pris l’initiative d’ouvrir une enquête « afin d’évaluer s’il y a eu une violation des dispositions du règlement général sur la protection des données (RGPD) ».

Le communiqué de l’agence lituanienne :

« L’Inspection nationale de la protection des données (ci-après dénommée "IPIS"), ayant reçu une notification de violation de données à caractère personnel (ci-après dénommée "DBSB") de la part de Revolut Bank UAB, Revolut Insurance Europe UAB (ci-après dénommée " Revolut "), a ouvert une enquête de sa propre initiative à l’égard des sociétés susmentionnées afin d’évaluer s’il y a eu une violation des dispositions du règlement général sur la protection des données (ci-après dénommé "RGPD").

Brèves informations sur l’ADSP :

- Les résultats préliminaires montrent que des techniques d’ingénierie sociale ont été utilisées pour accéder à la base de données de Revolut ;
- "L’équipe de sécurité de Revolut, dès qu’elle a remarqué l’incident de sécurité, a agi rapidement pour supprimer l’accès malveillant aux données des clients de l’entreprise et mettre fin à l’incident ;
- Selon les informations révisées fournies, l’incident pourrait avoir affecté les données de 50 150 clients dans le monde (dont 20 687 dans l’Espace économique européen), telles que les noms, adresses, adresses électroniques, numéros de téléphone, certaines données de cartes de paiement (selon l’entreprise, les numéros de cartes étaient masqués), les données de compte, etc.
- Le nombre de consommateurs potentiellement affectés en Lituanie est de 379.
- La société a indiqué qu’elle était en train de communiquer avec les clients spécifiques dont la confidentialité des données personnelles a été violée dans cet incident.
- Les clients sont alertés par des courriels au sujet de l’ADSP, des réponses à leurs questions éventuelles, de la confirmation que les fonds sur leurs comptes n’ont pas été compromis, de l’explication des mesures prises par Revolut pour protéger les clients, etc.
- "Revolut poursuit actuellement son enquête sur le cyberincident et la violation des données personnelles.
- "Revolut souligne qu’elle n’appellera pas et n’enverra pas de SMS au sujet de l’incident, et ne demandera pas non plus de détails de connexion ou de codes d’accès, donc toute tentative de contact doit être traitée avec suspicion.

Étant donné que le DPAI a déjà lancé une enquête d’initiative sur une éventuelle violation des données personnelles dans les organisations susmentionnées, les plaintes individuelles ne seront pas examinées. De plus amples informations seront publiées une fois l’enquête terminée. »

Lire :