	Appelez-nous aujourd'hui!
	1 (855) 422-1510

Avis d’incident de cybersécurité

avril 14, 2023

Avis d'incident de cybersécurité

Safe Step Walk-In Tub (« Safe Step ») a appris en décembre 2022 que des intrusions potentielles non autorisées dans le compte de courriel d'un seul employé de Safe Step avait pu se produire. Nous avons lancé une action de cybersécurité, sécurisé le compte et lancé une enquête pour déterminer la nature et la portée de l'incident. Notre enquête a confirmé que des courriels d'hameçonnage ont été envoyés à partir du compte compromis et que les informations personnelles de certains de nos clients et de notre filiale américaine ont peut-être été consultées

Nous prenons très au sérieux la confidentialité et la sécurité des informations personnelles de nos clients. C'est pourquoi nous fournissons cet avis pour expliquer ce qui s'est passé, les informations personnelles qui ont pu être affectées, les mesures que nous prenons pour limiter l'impact et les mesures que vous pouvez prendre pour protéger vos informations et votre identité. Nous avons également contacté directement par courrier ou par courriel tous les clients potentiellement concernés dont nous avons pu retrouver les coordonnées.

Que s'est-il passé ?

Le 12 décembre 2022, Safe Step a été alerté d’un incident potentiel de cybersécurité. Après enquête, nous avons déterminé que des intrusions potentielles non autorisées dans le compte de courriel d'un seul employé de Safe Step avait pu avoir lieu. Nous avons alors initié une intervention de cybersécurité et avons lancé une enquête pour déterminer la nature et la portée de l'incident. Nous avons également engagé une société de cybersécurité pour nous aider à enquêter sur l'incident et à identifier toute information potentiellement compromise.

L'enquête a déterminé qu'un ou plusieurs tiers non autorisés ont obtenu accès au compte de courriel entre environ le 25 octobre 2022 et le 12 décembre 2022. Le compte a été utilisé pour envoyer des courriels d'hameçonnage le 8 novembre 2022 et les 8, 9 et 12 décembre 2022. Nous avons réussi à mettre fin à l’accès non autorisé le 12 décembre 2022, et nous avons signalé l'incident aux forces de l'ordre.

Quelles sont les informations concernées ?

Après avoir terminé notre enquête, notre analyse et notre examen des circonstances et des données en cause dans l'incident de sécurité, nous avons déterminé que les communications et les documents qui ont été potentiellement exposés comprennent des renseignements personnels qui concernent certains de nos clients au Canada et les clients de notre filiale américaine, Safe Step Walk In Tub, LLC, aux États-Unis. Bien que les informations exactes potentiellement affectées varient d'une personne à l'autre, les types d'informations qui ont pu être affectées comprennent le nom, l'adresse, la date de naissance, l'adresse courriel, les numéros d'identification gouvernementaux (tels que les numéros d'assurance sociale et de sécurité sociale), les informations financières et les informations relatives aux cartes de paiement, ainsi que les informations relatives à la santé.

Nous avons contacté directement par courrier ou par courriel toutes les personnes potentiellement concernées pour lesquelles nous avons pu localiser les informations de contact ; cependant, nous n'avons pas pu localiser les informations de contact d'un petit nombre de ces personnes. Nous encourageons les clients qui souhaitent confirmer si leurs informations personnelles ont pu être affectées à nous appeler au 1-800-216-7798, du lundi au vendredi entre 9h00 et 19h00, heures de l'Est.

Il est important de noter que notre enquête n'a pas révélé la divulgation publique d'informations personnelles potentiellement affectées ou leur utilisation à des fins frauduleuses.

Que faisons-nous ?

Nous prenons un certain nombre de mesures pour la protection de nos clients. La protection des informations de nos clients est essentielle pour nous, et nous continuerons à investir dans le renforcement de nos défenses. Nous avons mis en place des mesures de sécurité supplémentaires pour aider à prévenir un incident similaire et nous utiliserons les informations révélées par l'analyse de cet incident pour renforcer encore la sécurité de notre réseau, de nos systèmes et de nos informations. Nous collaborerons également pleinement à toute enquête des forces de l'ordre sur cet incident.

Ce que les clients peuvent faire.

Bien que notre enquête n'ait pas révélé la divulgation publique d'informations personnelles potentiellement concernées ou leur utilisation à des fins frauduleuses, nous encourageons tous nos clients à prendre les mesures suivantes pour se protéger contre une éventuelle mauvaise utilisation de leurs informations :

Appelez-nous au 1-800-216-7798, du lundi au vendredi entre 9 h et 19 h, heures de l'Est, pour savoir si vos informations personnelles ont pu être affectées par cet incident.
Soyez attentif aux courriels d'hameçonnage et autres communications frauduleuses. À moins que vous ne nous contactiez, nous ne vous appellerons pas ni ne vous enverrons de SMS pour vous demander des informations personnelles concernant cet incident de cybersécurité. Nous ne vous demanderons jamais non plus les détails de votre carte de crédit par courriel. Si vous recevez une telle communication frauduleuse d'une personne se faisant passer pour Safe Step, ne cliquez sur aucun lien, n’ouvrez aucune pièce jointe, ne téléchargez aucun fichier et ne répondez pas à la communication. Veuillez plutôt nous en informer en utilisant les coordonnées ci-dessous.

Nous sommes conscients que les courriels d'hameçonnage suivants ont été envoyés à partir du compte compromis :

Date	Objet
8 novembre 2022	EMAIL: Mailbox Expiry Warning -Tuesday, November 8, 2022
8 décembre 2022	Payroll Funding
9 décembre 2022	Payroll Funding 12/9/2022, Payroll Funding 12/12/2022
12 décembre 2022	Payroll Disbursement 12/12/2022

Si vous avez reçu ces courriels, ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe et supprimez-les immédiatement.

Commandez périodiquement et gratuitement une copie de votre rapport de crédit auprès des deux principales agences d'évaluation du crédit. Une fois que vous avez reçu vos rapports, examinez-les pour détecter toute activité suspecte et informez les agences de crédit si des informations sont incorrectes.

Au Canada, vous pouvez obtenir votre rapport auprès de TransUnion ici ou en composant le 1-800-663-9980. Vous pouvez obtenir votre rapport auprès d'Equifax ici ou en composant le 1-800-465-7166.

Aux États-Unis, vous pouvez obtenir gratuitement une copie de votre dossier de crédit, une fois tous les 12 mois, auprès de chacune des trois agences nationales d'évaluation du crédit. Pour commander votre rapport de crédit annuel gratuit, veuillez consulter le site www.annualcreditreport.com, appeler le 1-877-322-8228 ou remplir un formulaire de demande de rapport de crédit annuel et le poster à l'adresse suivante : Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348. Vous pouvez accéder au formulaire de demande ici.

Signalez les fraudes et les vols d'identité. Signalez toute activité frauduleuse ou tout soupçon d'usurpation d'identité aux autorités policières locales.
Surveillez régulièrement vos comptes bancaires et de carte de crédit et examinez vos relevés de compte pour détecter toute activité suspecte. Si vous détectez une activité suspecte sur un compte, contactez immédiatement votre banque émettrice. De même, surveillez vos autres comptes en ligne pour détecter toute activité inhabituelle ou suspecte que vous ne reconnaissez pas et contactez immédiatement la société concernée si vous repérez une telle activité.
Surveillez votre courrier pour détecter tout changement ou toute perturbation. Signalez toute irrégularité dans la livraison de votre courrier à Postes Canada ou au U.S. Postal Inspection Service.
Consultez des ressources supplémentaires. Consultez le site Web Get Cyber Safe du gouvernement du Canada, le Centre antifraude du Canada et le Federal Trade Commission des États-Unis pour vous informer davantage sur la cybersécurité et les mesures que vous pouvez prendre pour vous protéger en ligne.

Comment nous rejoindre.

La sécurité des informations personnelles de nos clients est de la plus haute importance pour nous. Nous regrettons profondément que cet incident se soit produit et nous nous excusons pour les désagréments qu'il occasionne.

Si vous avez des questions, veuillez nous appeler au 1-800-216-7798, du lundi au vendredi entre 9 h et 19 h, heures de l'Est, ou nous envoyer un courriel à l'adresse inquiries@safesteptub.com.

Sincèrement,

Sébastien Laforge

Président

Wolseley Canada Inc., f.a.s.r.s. Safe Step Walk-In Tub

FOIRE AUX QUESTIONS

Nous sommes conscients qu'un incident de cybersécurité de cette nature peut vous inquiéter. La FAQ suivante est destinée à vous aider à comprendre l'incident et à répondre aux questions que vous pourriez vous poser.

Je suis un client de Safe Step. Mes informations personnelles sont-elles affectées par cet incident de cybersécurité ?

Pas nécessairement. Cet incident n'a affecté que le compte de messagerie d'un seul employé de Safe Step et, selon notre enquête, notre analyse et notre examen des circonstances et des données concernées, nous avons déterminé que seul un nombre limité de clients était potentiellement affecté. Nous avons contacté directement par courrier ou par courriel toutes les personnes potentiellement affectées pour lesquelles nous avons pu trouver des informations de contact ; cependant, nous n'avons pas pu trouver les informations de contact d'un petit nombre de ces personnes. Nous encourageons les clients qui souhaitent confirmer si leurs informations personnelles ont pu être affectées à nous appeler au 1-800-216-7798, du lundi au vendredi entre 9h00 et 19h00, heures de l'Est.

Je suis un client américain de Safe Step Walk In Tub, LLC. Où puis-je obtenir plus d'informations ?

Quels types d'informations personnelles peuvent avoir été affectés ?

Les renseignements personnels potentiellement affectés comprennent des renseignements relatifs à certains de nos clients au Canada et les clients de notre filiale américaine, Safe Step Walk In Tub, LLC, aux États-Unis. Bien que les informations exactes potentiellement affectées varient d'une personne à l'autre, les types d'informations qui peuvent avoir été affectées comprennent le nom, l'adresse, la date de naissance, l'adresse courriel, les numéros d'identification gouvernementaux (tels que les numéros d'assurance sociale et de sécurité sociale), les informations financières et les informations relatives aux cartes de paiement, ainsi que les informations relatives à la santé.

Que puis-je faire d'autre pour me protéger contre l'utilisation abusive de mes informations personnelles ?

Bien que notre enquête n'ait pas révélé la divulgation publique d'informations personnelles potentiellement affectées ou leur utilisation à des fins frauduleuses, nous encourageons tous nos clients à prendre les mesures suivantes pour se protéger contre une éventuelle utilisation abusive de leurs informations :

Appelez-nous au 1-800-216-7798, du lundi au vendredi entre 9 h et 19 h, heures de l'Est, pour savoir si vos informations personnelles ont pu être affectées par cet incident.
Commandez périodiquement et gratuitement une copie de votre rapport de crédit auprès des deux principales agences d'évaluation du crédit. Une fois que vous avez reçu vos rapports, examinez-les pour détecter toute activité suspecte et informez les agences de crédit si des informations sont incorrectes.

Au Canada, vous pouvez obtenir votre rapport auprès de TransUnion ici ou en composant le 1-800-663-9980. Vous pouvez obtenir votre rapport auprès d'Equifax ici ou en composant le 1-800-465-7166.

Signalez les fraudes et les vols d'identité. Signalez toute activité frauduleuse ou tout soupçon d'usurpation d'identité aux autorités policières locales.
Surveillez régulièrement vos comptes bancaires et de carte de crédit et examinez vos relevés de compte pour détecter toute activité suspecte. Si vous détectez une activité suspecte sur un compte, contactez immédiatement votre banque émettrice. De même, surveillez vos autres comptes en ligne pour détecter toute activité inhabituelle ou suspecte que vous ne reconnaissez pas et contactez immédiatement la société concernée si vous repérez une telle activité.
Surveillez votre courrier pour détecter tout changement ou toute perturbation. Signalez toute irrégularité dans la livraison de votre courrier à Postes Canada ou au U.S. Postal Inspection Service.

Je pense avoir reçu un courriel d'hameçonnage de la part de Safe Step. Que dois-je faire ?

Nous sommes conscients que les courriels d'hameçonnage suivants ont été envoyés à partir du compte compromis :

Date	Objet
8 novembre 2022	EMAIL: Mailbox Expiry Warning -Tuesday, November 8, 2022
8 décembre 2022	Payroll Funding
9 décembre 2022	Payroll Funding 12/9/2022, Payroll Funding 12/12/2022
12 décembre 2022	Payroll Disbursement 12/12/2022

Si vous avez reçu ces courriels, ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe et supprimez-les immédiatement.

À moins que vous ne nous contactiez, nous ne vous appellerons pas et ne vous enverrons pas de SMS pour vous demander des informations personnelles concernant cet incident de cybersécurité. De même, nous ne vous demanderons jamais les détails de votre carte de crédit par courriel. Si vous recevez une communication frauduleuse de la part d'une personne se faisant passer pour Safe Step, ne cliquez sur aucun lien, ne téléchargez aucun fichier et ne répondez pas à la communication. Plutôt, veuillez nous en informer en utilisant les coordonnées ci-dessous.

Y a-t-il autre chose que je devrais faire ?

Nous encourageons nos clients à rester vigilants et à prendre les mesures supplémentaires suivantes pour se protéger contre les risques potentiels en ligne :

Soyez attentif aux courriels d'hameçonnage et autres communications frauduleuses. À moins que vous ne nous contactiez, nous ne vous appellerons pas ni ne vous enverrons de SMS pour vous demander des informations personnelles concernant cet incident de cybersécurité. Nous ne vous demanderons jamais non plus les détails de votre carte de crédit par courriel. Si vous recevez une telle communication frauduleuse d'une personne se faisant passer pour Safe Step, ne cliquez sur aucun lien, ne téléchargez aucun fichier et ne répondez pas à la communication. Veuillez plutôt nous en informer en utilisant les coordonnées ci-dessous.
Consultez des ressources supplémentaires. Consultez le site Web Get Cyber Safe du gouvernement du Canada, le Centre antifraude du Canada et le Federal Trade Commission des États-Unis pour vous informer davantage sur la cybersécurité et les mesures que vous pouvez prendre pour vous protéger en ligne.

Comment puis-je contacter Safe Step ?

Publié dans Walk in Tub