Le service de paiement mobile Cash App a fait état d’une importante faille de sécurité impliquant un ancien employé et concernant plus de 8 millions d’utilisateurs de son système.

Les données ne concernent que l’activité boursière

L’entreprise Block, anciennement connue sous le nom de Square et fondée par l’ancien PDG de Twitter, Jack Dorsey, a ainsi déposé une plainte auprès de la Securities and Exchange Commission (SEC), l'organisme fédéral américain de réglementation et de contrôle des marchés financiers. Elle y explique que Cash App, dont elle est la maison mère, a été victime d’un vol de données de la part de l’un de ses anciens employés.

Ce 10 décembre dernier, alors qu’il avait quitté son poste au sein de l’entreprise depuis plusieurs mois déjà, celui-ci est parvenu à télécharger des documents comportant des informations sur les utilisateurs du service. Comme l’explique Vice, ce vol ne concerne que « le nom complet et le numéro de compte de courtage (il s'agit du numéro d'identification unique associé à l'activité boursière d'un client sur Cash App Investing) et, pour certains clients, la valeur du portefeuille de courtage, les avoirs du portefeuille de courtage et/ou l'activité boursière pour un jour de bourse ». 8,2 millions d’utilisateurs sont touchés ; la firme les contacte afin de leur fournir des informations sur l’incident et partager avec eux des ressources pour répondre à leurs questions.

Pour rappel, Cash App était au départ un service de paiement mobile, mais il s’est développé pour désormais permettre à ses usagers d’acheter des actions et des bitcoins. Selon la société, aucune autre fonctionnalité de Cash App en dehors des actions n'a été impliquée dans la fuite de données, tandis qu’aucun client en dehors des États-Unis n’est concerné par celle-ci.

Des pièces de bitcoin.

Cash App permet à ses utilisateurs d'acheter des bitcoins. Photographie : Kanchanara / Unsplash

Cash App tente d’élucider le mystère

« Alors que cet employé avait régulièrement accès à ces rapports dans le cadre de ses responsabilités professionnelles antérieures, dans le cas présent, ces rapports ont été consultés sans autorisation après la fin de son emploi », explique Cash App. Logiquement, lorsqu’une personne quitte son poste, son accès à son compte et aux informations de celui-ci lui sont coupés, il est donc encore difficile de savoir comment il est parvenu à accéder aux documents.

« Les rapports ne comprenaient pas de noms d'utilisateur ou de mots de passe, de numéros de sécurité sociale, de date de naissance, d'informations sur les cartes de paiement, d'adresses, d'informations sur les comptes bancaires ou toute autre information permettant d'identifier les personnes. Ils ne comprenaient pas non plus de code de sécurité, de code d'accès ou de mot de passe utilisés pour accéder aux comptes Cash App », assure néanmoins Block dans sa plainte.

Ce n’est pas la première fois que des employés de grandes entreprises technologiques abusent des données personnelles des utilisateurs de ces dernières. En 2019 par exemple, des employés de Snapchat ont utilisé un outil afin d’accéder illégalement aux informations des usagers.