Le procureur général James obtient 400 000 dollars de Wegmans après que la violation des données a exposé les informations personnelles des consommateurs.

En avril 2021, un chercheur en sécurité a informé Wegmans qu'un conteneur de stockage en nuage hébergé sur Microsoft Azure était laissé non sécurisé et ouvert à l'accès public, exposant potentiellement les informations sensibles des consommateurs. Wegmans a immédiatement examiné son environnement en nuage et a identifié le conteneur, qui contenait un fichier de sauvegarde de base de données avec plus de trois millions d'enregistrements d'adresses électroniques de clients et de mots de passe de comptes. Le conteneur a été mal configuré depuis sa création en janvier 2018 jusqu'en avril 2021. Pendant ce temps, un acteur non autorisé aurait pu accéder aux informations d'identification du compte et les craquer, les utiliser pour se connecter au compte Wegmans d'un client ou pour accéder au compte d'un client sur un autre site web si le client avait réutilisé son mot de passe. En mai 2021, Wegmans a découvert un deuxième conteneur de stockage en nuage qui était également mal configuré. Le conteneur de stockage, qui a été laissé accessible au public depuis sa mise en place en novembre 2018, abritait une base de données comprenant les noms des clients, leurs adresses électroniques, leurs adresses postales et des données supplémentaires dérivées des numéros de permis de conduire. 

En juin 2021, Wegmans a commencé à informer les consommateurs concernés dont les renseignements personnels avaient été compromis lors de l'incident. Le Bureau du procureur général (BVG) a déterminé qu'en plus de ne pas avoir configuré de façon appropriée les conteneurs de stockage en nuage pour limiter l'accès à leur contenu, au moment de l'incident, Wegmans a omis d'inventorier ses actifs en nuage contenant des renseignements personnels, de sécuriser tous les mots de passe des utilisateurs et d'effectuer régulièrement des tests de sécurité de ses actifs en nuage. En outre, Wegmans a conservé des sommes de contrôle dérivées des numéros de permis de conduire des clients sans avoir un objectif commercial raisonnable pour conserver indéfiniment toute forme d'informations relatives aux permis de conduire. Wegmans n'a pas non plus conservé les journaux à long terme de ses ressources en nuage, ce qui a rendu difficile l'enquête sur les incidents de sécurité.

À la suite de l'accord conclu aujourd'hui, Wegmans doit verser à l'État de New York 400 000 dollars de pénalités. En outre, Wegmans doit adopter de nouvelles mesures pour protéger les renseignements personnels des consommateurs à l'avenir, notamment :

• Maintenir un programme complet de sécurité de l'information comprenant des mises à jour régulières pour suivre l'évolution des technologies et des menaces pour la sécurité, et signaler les risques pour la sécurité à la direction de l'entreprise ;
• Maintenir des pratiques appropriées de gestion des actifs, y compris la tenue d'un inventaire de tous les actifs du cloud ;
• Établir des politiques et des procédures pour garantir que tous les actifs du cloud contenant des informations personnelles disposent de contrôles d'accès appropriés pour limiter l'accès à ces informations ;
• Développer un programme de tests de pénétration qui comprend au moins un test de pénétration annuel complet de l'environnement en nuage de Wegmans ;
• Mettre en place une journalisation et une surveillance centralisées de l'activité des actifs en nuage, y compris des journaux facilement accessibles pendant une période d'au moins 90 jours et stockés pendant au moins un an à compter de la date d'enregistrement de l'activité ;
• Établir des politiques et des procédures appropriées en matière de mots de passe pour les comptes des clients, notamment en hachant les mots de passe stockés à l'aide d'un algorithme de hachage et d'une politique de salage conformes aux normes du NIST, en encourageant les clients à utiliser des mots de passe forts, en les informant des avantages de l'authentification multifactorielle et en interdisant la réutilisation des mots de passe ;
• Maintenir un programme raisonnable de divulgation des vulnérabilités qui permet à des tiers, tels que les chercheurs en sécurité, de divulguer les vulnérabilités ;
• Établir des pratiques appropriées pour la gestion des comptes clients et l'authentification, y compris un avis, un défi de sécurité ou une réauthentification pour les changements de compte ; et,
• Mettre à jour ses pratiques de collecte et de conservation des données, notamment en ne recueillant les renseignements personnels d'un client que lorsqu'il existe un motif commercial raisonnable pour la collecte et en supprimant les renseignements personnels lorsqu'il n'y a plus de motif commercial raisonnable pour conserver ces renseignements - pour les renseignements recueillis avant la date d'entrée en vigueur de l'entente, Wegmans supprimera de façon permanente tous les renseignements personnels pour lesquels il n'existe aucun motif raisonnable dans les 240 jours suivant la date d'entrée en vigueur.

Cette affaire a été traitée par le chef adjoint du bureau, Clark Russell, l'assistante du procureur général, Jina John, et l'analyste de l'Internet et des technologies, Joe Graham, du bureau de l'Internet et des technologies, sous la supervision du chef du bureau, Kim Berger. Le Bureau of Internet and Technology fait partie de la Division for Economic Justice, qui est dirigée par le Chief Deputy Attorney General Chris D'Angelo et supervisée par la First Deputy Attorney General Jennifer Levy.