L'agence gouvernementale fédérale chargée d'accorder des brevets et des marques déposées alerte des milliers de déposants dont les adresses privées ont été exposées suite à une deuxième fuite de données en autant d'années.
Le Bureau des brevets et des marques déposées des États-Unis (USPTO) a indiqué dans un e-mail envoyé aux demandeurs de marque concernés cette semaine que leur adresse de domicile privée - qui peut inclure leur adresse personnelle - était visible dans les dossiers publics entre le 23 août 2023 et le 19 avril 2024.
La loi américaine sur les marques déposées exige que les demandeurs incluent une adresse privée lorsqu'ils déposent leurs documents auprès de l'agence pour prévenir les dépôts de marques frauduleux.
L'USPTO a déclaré que bien que aucune adresse n'apparaisse dans les recherches habituelles sur le site Web de l'agence, environ 14 000 adresses privées de demandeurs ont été incluses dans des ensembles de données en vrac que l'USPTO publie en ligne pour aider à la recherche académique et économique.
L'agence a admis sa responsabilité dans l'incident, affirmant que les adresses ont été "involontairement exposées alors que nous faisions la transition vers un nouveau système informatique", selon l'e-mail envoyé aux demandeurs concernés, que TechCrunch a obtenu. "Il est important de noter que cet incident n'est pas le résultat d'une activité malveillante", indiquait l'e-mail.
Après avoir découvert la faille de sécurité, l'agence a déclaré qu'elle "a bloqué l'accès à l'ensemble de données en vrac impacté, a supprimé les fichiers, a mis en place un correctif pour résoudre l'exposition, a testé notre solution et a rétabli l'accès".
Si cela vous semble étrangement familier, l'USPTO avait une exposition similaire des données d'adresse des demandeurs en juin dernier. À l'époque, l'USPTO avait déclaré avoir involontairement exposé environ 61 000 adresses privées de demandeurs dans une fuite de données de plusieurs années en partie à travers la publication de ses ensembles de données en vrac, et avait informé les personnes concernées que le problème avait été résolu.
Lorsqu'on l'a contactée pour un commentaire mercredi, la directrice adjointe de l'information de l'USPTO, Deborah Stephens, a déclaré à TechCrunch que la nouvelle exposition avait été découverte dans le cadre des efforts de l'agence pour moderniser son infrastructure informatique.
"La solution que nous avions mise en place était pleinement en place et reste en place", a déclaré Stephens. "Alors que nous modernisons et retirons les systèmes hérités des différentes décennies de normes et protocoles, l'erreur du système est survenue lors de la création et de la modernisation de cet ensemble de données en vrac."
Stephens a déclaré que l'USPTO a mis en place de nouveaux contrôles lors de la compilation et de la publication de ses ensembles de données en vrac, incluant "une correction d'erreur avec la création de fichiers", ce qui devrait empêcher de futures fuites d'informations personnelles.
"Nous examinons notre processus hérité-modernisé afin d'identifier les moyens par lesquels nous pouvons améliorer notre développement, traitement et diffusion des TI en adoptant une approche plus holistique de nos données et des systèmes externes ou publics, en particulier", a déclaré Stephens. L'USPTO a informé les personnes concernées que l'agence n'a "aucune raison de croire" que les adresses exposées ont été utilisées de manière abusive.
