Un scandale éclate : iHeartMedia attaqué en justice après une violation de données
Une récente action en justice déposée au tribunal du district sud de New York met iHeartMedia sous les projecteurs suite à une cyberattaque en décembre 2024. Cette violation de données a permis à des pirates informatiques d’exfiltrer des informations sensibles que iHeartMedia n’avait pas sécurisées, notamment des numéros de sécurité sociale, des détails de comptes financiers et des données d’assurance santé.
La plainte déposée au nom de la résidente du Tennessee Cheryl Shields et des personnes affectées tourne autour du retard significatif dans la notification de ceux qui ont été touchés par la violation de données en décembre. iHeartMedia n’a pas terminé son enquête sur la violation de données avant le 11 avril 2025, et n’a commencé le processus de notification que le 30 avril, soit plus de quatre mois après l’incident.
« En raison de cette réponse tardive, la plaignante n’avait aucune idée pendant quatre mois que ses informations privées avaient été compromises », indique la plainte. « Le risque [de cette violation de données] subsistera pour le reste de leur vie. »
L’équipe juridique de Shields soutient que les protocoles de sécurité de iHeartMedia étaient insuffisants pour une entreprise de cette envergure et de cette responsabilité. « Si iHeart avait correctement surveillé ses réseaux, elle aurait découvert la violation plus tôt », affirme la plainte. Ses avocats soutiennent que les données volées représentent un « trésor pour les voleurs de données ».
iHeartMedia affirme avoir rapidement activé des protocoles de réponse une fois la violation de données découverte. Depuis l’enquête, l’entreprise indique avoir « amélioré ses protocoles de sécurité actuels pour éviter des incidents similaires à l’avenir ». En conséquence de la violation de données, iHeartMedia a offert à tous les clients impactés un service de surveillance de crédit gratuit.
Les violations de données peuvent souvent entraîner des litiges en action collective comme celui-ci, à l’instar de l’affaire Equifax en 2017. Cette action en justice collective a abouti à un règlement de 425 millions de dollars après l’exposition des informations personnelles de plus de 150 millions d’Américains.
La violation de données de iHeartMedia était beaucoup plus petite, mais l’étendue nationale complète n’a pas encore été divulguée. Les attaquants ont accédé et obtenu des fichiers stockés dans plusieurs stations de radio locales de l’entreprise au cours d’une période de trois jours (du 24 au 27 décembre), exploitant les vacances et la réduction des effectifs pendant cette période.
