Après le piratage du site de Christie’s en mai, le groupe de hackers RansomHub a demandé une rançon à la maison de ventes, en échange de la non-divulgation des données dérobées. Christie’s n’ayant pas répondu à cette menace, ses clients ont intenté un recours collectif contre l’institution.
Efstathios Maroulis, le client Texan qui a déposé plainte en premier contre Christie’s le 3 juin, a rapidement été suivi par d’autres acheteurs réguliers de l’institution. Son action en justice, intentée auprès du tribunal fédéral du district de New York, accuse la maison de ventes de ne pas avoir « correctement sécurisé et sauvegardé les informations sensibles de ses clients ». Depuis, plusieurs dizaines de clients de la maison de ventes ont rejoint ce qui est devenu une véritable action collective. Les avocats des plaignants mettent en avant une négligence de la part de Christie’s, une rupture de contrat implicite, un enrichissement sans cause et une violation de la loi new-yorkaise sur les pratiques commerciales trompeuses. Selon le rapport du tribunal, qui évoque un « risque accru et imminent de fraude et d'usurpation d'identité », la majorité des plaignants vivent à New York, Washington D. C., Long Island et Dallas.
La plainte de 56 pages détaille que les clients de Christie’s ont confié leurs données personnelles à l’institution « sur la base d’un accord mutuel selon lequel le défendeur les protégerait contre toute divulgation ». Toutefois, en mai dernier, leurs informations auraient été « ciblées, compromises et consultées illégalement en raison de la violation de données par des cybercriminels ». Ces nombreux renseignements comprennent, entre autres, leurs noms, numéros de passeport, dates et lieux de naissance, numéros d’assurance sociale, pays d’origine et dates d’expiration de leurs documents d’identité. L’action collective indique que près de 500 000 membres ont été victimes d’une atteinte à leur vie privée, d’un vol de données et de coûts liés à la tentative d’atténuer les conséquences potentielles de ce piratage.
De son côté, le groupe RansomHub affirme avoir vendu les informations des clients de Christie’s aux enchères. Les hackers avaient demandé une rançon à la maison de ventes contre la non-divulgation de ces données, mais l’institution n’a pas répondu à cette menace. De fait, RansomHub aurait, depuis le 31 mai, mis ses plans à exécution. Néanmoins, le groupe n’a évidemment pas donné de précisions sur l’identité des clients dont les renseignements personnels ont été vendus aux enchères ni sur leurs propres clients.
A l’inverse, un porte-parole de Christie’s s’est voulu plutôt rassurant sur la situation : « Depuis que l'incident de cybersécurité s'est produit, nous surveillons activement l'activité en ligne pour toute mention de Christie's ou de nos données. En conséquence, nous savons qu'un cyber-groupe a fait une déclaration, qui n'a pas encore été vérifiée, affirmant que des données extraites d'une partie limitée de nos systèmes ont été vendues. Nous n'avons toujours aucune preuve que des enregistrements financiers ou transactionnels ou des copies de documents, de signatures ou de photographies aient été pris. Nous avons déjà notifié les clients dont les informations d'identité personnelle ont été dérobées. Nous continuons à nous conformer au GDPR [RGPD en français] et aux autres réglementations nationales et étatiques pertinentes. »
La maison de ventes n’a cependant pas fait de commentaires sur la possibilité que RansomHub ait effectivement vendu les données de leurs clients aux enchères. De même, le porte-parole ne s’est pas exprimé quant à l’action en justice intentée contre l’institution. Il a plutôt conclu que : « Nous aimerions remercier nos clients pour leur confiance et leur soutien continus pendant cette période difficile et, encore une fois, nous exprimons nos regrets pour les inconvénients causés. »
Comments