Environ 500.000 clients de la néobanque Monzo contraints de changer leur code PIN

 |   |  489  mots
(Crédits : Monzo)
La Fintech britannique a découvert vendredi dernier une faille dans ses systèmes informatiques internes rendant accessibles les codes PIN de 480.000 clients aux ingénieurs de la société. Aucune fraude n'a été commise, mais les clients concernés ont été invités à changer leur code en se rendant à un distributeur automatique.

Monzo fait son mea culpa. Dans un post de blog, publié lundi 5 août, la néobanque britannique a expliqué avoir découvert une faille de sécurité dans son système informatique exposant les codes PIN d'environ un demi-million de clients.

"Nous vous demandons votre code PIN chaque fois que vous souhaitez effectuer un paiement ou faire quoi que ce soit d'autre de sensible sur votre compte Monzo. Et, en tant que banque, nous conservons un registre de ce code PIN afin de vérifier que vous l'aviez renseigné correctement. Nous les stockons dans une partie particulièrement sécurisée de nos systèmes et contrôlons étroitement qui chez Monzo peut y accéder.

Le vendredi 2 août, nous avons découvert que nous avions également enregistré les codes PIN de certaines personnes dans une autre partie de nos systèmes internes (dans des fichiers journaux encryptés). Les ingénieurs chez Monzo ont accès à ces fichiers journaux dans le cadre de leur travail. Nous avons supprimé les informations que nous avions stockées de cette façon.

Dès que nous avons découvert ce bug, nous avons immédiatement apporté des modifications pour nous assurer que l'information n'était plus accessible à n'importe qui chez Monzo", raconte la Fintech britannique sur son billet de blog.

Monzo a averti l'Information commissioner's office (ICO), l'équivalent de notre Cnil, après avoir découvert le problème, rapporte le Financial Times. La Financial Conduct Authority, le régulateur financier local, a déclaré qu'elle était au courant, mais n'a pas souhaité faire de commentaire, précise le quotidien britannique.

Aucune fraude commise

Au total, 480.000 clients britanniques de la banque mobile étaient concernés, soit un peu moins de 20% de sa base d'utilisateurs qui en compte plus de 2 millions. La jeune pousse précise qu'aucune personne en dehors de Monzo n'a eu accès aux codes PIN en question et qu'ils n'ont pas été utilisés pour commettre une fraude. En revanche, par mesure de précaution, elle recommande à tous ses clients de mettre à jour leur application sur iOS et Android et aux clients touchés de changer leur code PIN en se rendant à un distributeur automatique de billets.

Monzo a été fondée en 2015 par Tom Blomfield, qui avait cofondé auparavant GoCardless. La licorne (entreprise non cotée en Bourse dont la valorisation est supérieure à un milliard de dollars) s'est développée d'abord en proposant une carte de paiement prépayée couplée à une application mobile. En 2017, elle décroche sa licence bancaire qui lui permet de déployer une offre de compte courant. Elle emploie aujourd'hui plus de 1.000 personnes à Londres, Cardiff, Los Angeles et Las Vegas.

En juin dernier, Monzo a officialisé  un tour de table de 144 millions de dollars pour soutenir son expansion aux États-Unis, la valorisant 2,5 milliards de dollars, contre un peu moins d'1,3 milliard de dollars huit mois avant.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 09/08/2019 à 13:58 :
Donc ils qualifient leurs propres ingénieur de n importe qui sympa.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :