Plus de 9 000 utilisateurs de téléphones ont été facturés à tort jusqu’à 520 000 € pour des services surtaxés à la suite d’une attaque de logiciel malveillant de type “usurpation d’identité”, a déclaré un tribunal.
L’agrégateur de services premium Kaleyra UK Ltd a plaidé coupable devant le tribunal de district de Dublin lundi pour 22 infractions en vertu de la loi de 2010 sur la réglementation des communications (services à tarif majoré et infrastructure de communications électroniques).
Il fait suite à une enquête de la Commission de régulation des communications (ComReg).
Il a reçu des plaintes de clients et a également été alerté par Three Ireland, qui a remarqué une tendance qui a conduit à une augmentation de 40 000 appels surtaxés parmi ses clients avec des nombres similaires d’août 2021 à janvier 2022.
Three Ireland en a rejeté 30 000, mais quelque 9 500 clients ont été facturés chacun 10 € par semaine jusqu’à leur désabonnement.
Kaleyra a admis qu’elle n’avait pas contacté ComReg et qu’elle ne disposait pas d’un mécanisme de remboursement ou d’une sécurité adéquats pour empêcher l’attaque de logiciels malveillants, ce qui a entraîné une augmentation massive des faux abonnements.
Le juge Anthony Halpin a admis que Kaleyra avait été victime d’une attaque de sécurité, mais il a fait remarquer qu ‘«il aurait dû communiquer avec ComReg beaucoup plus tôt lorsqu’ils ont découvert cette activité suspecte; ils ont quelque peu traîné les pieds, mais pas au point que les gens souffrent davantage.
Il a noté qu’en conséquence, Kaleyra s’était retirée du marché irlandais mais avait remboursé les 9 500 facturés à tort pour des services surtaxés qu’ils n’avaient pas recherchés.
Kaleyra, qui est entré sur le marché irlandais il y a 10 ans, n’avait aucune condamnation antérieure et a accepté de payer 10 000 € pour les frais de ComReg.
Le juge Halpin a noté les véritables remords de l’entreprise et a déclaré qu’il appliquerait la loi sur la probation des délinquants, lui épargnant une condamnation enregistrée, s’il faisait un don de 5 000 € à une association caritative d’ici le 13 mars.
Kaleyra agissait en tant qu’agrégateur pour les créateurs de contenu et gérait les paiements des réseaux téléphoniques qui facturaient les clients.
La responsable des opérations de conformité de ComReg, Miriam Kilraine, a déclaré que le contenu à tarif majoré était généralement des jeux, des compétitions, des plans de conditionnement physique et de régime, ou du contenu pour adultes.
L’abonnement impliquait un système de “double verrouillage”, un utilisateur répondant à une annonce en ligne et saisissant son numéro de téléphone.
Ils ont ensuite reçu un SMS demandant une réponse opt-in.
Un compte activé à tort appartenait à une carte SIM utilisée dans les barrières de sécurité.
Mme Kilraine a convenu avec Remy Farrell SC, pour ComReg, que Kaleyra a reçu de faux messages de confirmation optant pour les clients.
Il a culminé en décembre 2022 et était connu dans l’industrie des télécommunications sous le nom de “spoofing”.
Dans ce cas, un “mauvais acteur” anonyme a eu accès aux services de Kaleyra.
Elle a dit que c’était la première fois que cela se produisait en Irlande, mais Kaleyra avait des procédures de surveillance internes inadéquates pour protéger les clients.
Mme Kilraine a ajouté qu’elle aurait dû remarquer l’augmentation exponentielle du trafic, qui a démontré un schéma d’activité inhabituel, et que le nombre de clients concernés était très proche en séquence numérique en un mois.
Cela aurait été “extrêmement fortuit”, a-t-elle déclaré.
L’avocat de la défense Niall Buckley a déclaré que cela avait conduit Kaleyra à poser des questions aux fournisseurs de contenu ; il n’y avait aucune preuve d’une activité commerciale accrue à l’époque, et il était clair que l’augmentation était artificielle.
Il a dit qu’il s’agissait d’une infraction de responsabilité stricte et qu’un plaidoyer de culpabilité précoce avait été enregistré à la première occasion disponible.
Le juge Halpin a noté qu’un incident de logiciel malveillant avait causé le problème, qui avait eu un effet généralisé, mais Kaleyra n’en avait pas profité et s’était retiré d’Irlande.
Deux cadres supérieurs étaient présents à l’audience et l’avocat a exprimé ses regrets au nom du cabinet.
Le juge Halpin a ordonné le don caritatif à la Little Flower Penny Dinner Charity, qui aide les personnes défavorisées à Dublin.
