Fuite de données chez Burger King France. Et si le problème était bien plus saignant!

BFM est revenu, il y a quelques heures, sur une découverte de Bob Diachenko, un chercheur en cybersécurité avec qui ZATAZ a déjà collaboré plusieurs fois. Cette fois, Bob a mis la main sur une base de données de plus de 37 000 données appartenant à de jeunes Français, clients de Burger King France. ZATAZ va vous révéler que le problème est peut-être beaucoup plus grave que ça!

Une base de données de 37 900 données découverte, il y a quelques jours, par Bob Diachenko, un spécialiste en cybersécurité. Un document appartenant à Burger King France, et plus précisément à son espace web destiné aux enfants, Kool King Shop. Comme le précise BFM, problème rapidement corrigé. Les clients contactés par le restaurateur. La société indique avoir été victime d’une cyberattaque. Dans les données découvertes: Noms, numéros de téléphone, dates de naissance, adresses mail, mots de passe. Le mot de passe hashé, non utilisable en l’état. Pas d’informations bancaires.

Une fois de plus, la technique employée par Bob est l’utilisation du moteur de recherche spécialisé en cybersécurité, Shodan. Burger King parle d’une cyberattaque. La société a oublié d’indiquer le courriel envoyé à Bob : « Nous tenons à vous remercier pour votre divulgation responsable d’une possible faille de sécurité de notre infrastructure sur les données de certains clients […] Nous voulions vous tenir informés que le problème avait fait l’objet d’une enquête et que cette vulnérabilité éventuelle était désormais corrigée. »

BK explique dans le courriel du  jeudi 9 mai à destination des 37 000 clients que : « des données liées à votre compte auraient pu être consultées suite à une manipulation technique« .

Burger King France – 50 cents d’Euro le compte.

Burger King a vraiment subi une cyberattaque !

Payer en livre sterling des comptes US… et sa carte bancaire !

Burger King France, dans son message à BFM, indique avoir été victime d’une cyberattaque. Parlent-ils de la découverte de Bob, ou de cette infiltration dans une des filiales du groupe, Burger King Brésil ? ZATAZ découvre que la filiale brésilienne a été infiltrée de manière radicale, le 9 mai 2019, par un groupe de pirates informatiques local. Ici on ne parle plus d’une base de données oubliée dans un serveur mais de failles SQLi, Shellshock et CSRF.

L’annonce du piratage de Burger King Brésil.

D’une infiltration possible dans la base de données globale des restaurants brésiliens. Avec la potentialité de joindre d’autres BDD du groupe mondial ?

Et devinez qui on retrouve dans ce piratage ? Pryzraky. Un pirate qui avait fait parler de lui en décembre 2018, lors d’attaques DDoS à l’encontre de sites Français. Une action numérique afin de soutenir les « Gilets jaunes ». Action renouvelée, il y a quelques jours, par un autre Brésiliens, Iz Naye. Il est l’auteur du vol de données appartenant à un forum du groupe automobile Peugeot. Un ami de pryzraky. La boucle bouclée !

Burger King dans le black market

J’en ai profité pour jeter un œil sur les propositions commerciales faites par des pirates, dans le blackmarket et sites pirates, concernant Burger King. Autant dire que la marque se fait découper comme un steack haché ! 9 cas sur 10, les informations clients proviennent de phishing. Un cas semble provenir d’une autre manipulation informatique que le pirate n’a pas souhaité communiquer.

 

Burger King USA – 0,75$ le compte.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes