Iberdrola a récemment informé ses clients d’un accès non autorisé aux données personnelles de plus de 850 000 utilisateurs, bien que le chiffre réel pourrait dépasser le million. Dans un courriel envoyé aux personnes touchées, la compagnie énergétique a détaillé qu’entre le 5 et le 7 mai, un de ses fournisseurs a subi une cyberattaque qui a permis l’accès partiel à des informations sensibles.
Dans le communiqué, Iberdrola assure que l’incident a été résolu rapidement et que les données compromises comprennent des noms, des prénoms, des numéros de DNI (document national d’identité) et des données de contact. Cependant, des sources internes suggèrent que plus de clients et de données pourraient être impliqués, y compris des informations financières telles que des numéros de comptes bancaires.
Iberdrola a pris des mesures immédiates après avoir détecté l’attaque, en neutralisant la menace et en renforçant ses systèmes de sécurité pour prévenir de futurs incidents. De plus, la société a informé les autorités compétentes, y compris l’Agencia Española de Protección de Datos (AEPD), de l’incident.
Malgré ces efforts, de nombreux clients affirment ne pas avoir reçu de notification et ignorent s’ils ont été affectés par cette faille de sécurité. Pendant ce temps, des données concernant plus d’un million d’enregistrements sont en circulation sur le réseau, à vendre, ce qui suggère que l’ampleur de l’attaque pourrait être plus importante que celle officiellement reconnue.
Ce n’est pas la première cyberattaque que subit Iberdrola. En mars 2022, la société avait déjà été confrontée à une fuite massive de données affectant 1,3 million de clients. À cette occasion, les attaquants avaient eu accès à des noms, des prénoms, des numéros de DNI, des numéros de téléphone et des courriels. Par la suite, les personnes affectées ont commencé à recevoir des appels et des courriels commerciaux non sollicités, prouvant que les informations volées avaient été vendues et exploitées.
Pour l’attaque de 2022, l’AEPD a imposé à Iberdrola une amende de 6,5 millions d’euros, l’une des plus importantes sanctions de l’histoire de l’organisme. L’enquête a conclu qu’Iberdrola n’avait pas surveillé adéquatement ses systèmes depuis 2019, qualifiant la vulnérabilité de « identifiable et évitable ».
La répétition de ces incidents souligne la nécessité pour Iberdrola et d’autres entreprises de renforcer leurs mesures de cybersécurité. Les données compromises dans ces attaques peuvent être utilisées pour lancer d’autres attaques, mettant en péril la sécurité et la vie privée des clients. Entre-temps, les utilisateurs touchés doivent rester vigilants et prendre des mesures supplémentaires pour protéger leurs informations personnelles et financières.