Fuite de données chez TEMU

Posted On 16 Sep 2024

La boutique en ligne chinoise TEMU fait-elle face à une fuite massive de données ? Un pirate informatique propose à la vente 87 millions de comptes.

Ce pirate, qui se fait appeler « Fumeur de tabac« , est un nouveau venu dans le monde du piratage, jusqu’alors inconnu. Il a récemment émergé avec la mise en vente d’une base de données qui pourrait causer de sérieux problèmes à TEMU.

TEMU est une plateforme de commerce en ligne lancée en 2022 par PDD Holdings, maison mère de Pinduoduo, un géant chinois de l’e-commerce. La plateforme propose une vaste gamme de produits à des prix très bas, de la mode aux gadgets électroniques, en passant par les articles ménagers. Elle a rapidement gagné en popularité, devenant l’une des applications de shopping les plus téléchargées, notamment aux États-Unis et en Europe, où elle est arrivée en 2023.

Les échantillons du pirate, caviardés par ZATAZ dans la capture écran, étaient remplies d’informations personnelles.

Le modèle économique de TEMU repose sur un système Consumer-to-Manufacturer (C2M), permettant aux fabricants de vendre directement aux consommateurs, ce qui réduit les coûts et offre des prix ultra-compétitifs. Cependant, la plateforme a également été critiquée pour la qualité inégale de ses produits, des retards de livraison, et des pratiques commerciales douteuses, telles que l’utilisation possible de travail forcé dans sa chaîne d’approvisionnement et des accusations de logiciels espions.

Cliquer pour en savoir plus et vous protéger.

En plus de ces critiques, la plateforme a adopté une stratégie de marketing agressive, avec des réductions massives et des partenariats avec des influenceurs sur les réseaux sociaux, attirant les consommateurs via des promotions gamifiées, favorisant les achats impulsifs. Cependant, cette croissance rapide a soulevé des préoccupations liées à l’impact environnemental, aux contrefaçons, aux normes de sécurité, et aux conditions de travail dans ses chaînes d’approvisionnement.

Récemment, un pirate informatique, croisé par ZATAZ dans un espace connu pour ses annonces malveillantes de ventes de données piratées (copipées), a annoncé la mise en vente de 87 millions de lignes volées à TEMU. Le pirate serait passé par une API de TEMU, permettant ainsi la copie d’un grand nombre d’informations. La faille a depuis été corrigée, comme le montre une capture d’écran partagée. « Les données n’ont jamais été vendues auparavant« , selon ce qu’à pu indiquer le pirate. « Une seule copie sera vendue. » ZATAZ peut confirmer la présence de Français, Belge, Canadien, dans l’échantillon qu’il a diffusé.

Les informations contenues dans l’échantillon proposé par le pirate inclue : nom, adresse électronique, adresse IP, ville, sexe, date de naissance et pays.

Mise à jour 17/09/2024 : TEMU, qui n’a pas contacté ZATAZ, a cependant indiqué à 01NET : « L’équipe de sécurité de Temu a mené une enquête approfondie sur la prétendue violation de données et confirme que les allégations sont totalement infondées : les données en circulation ne proviennent pas de nos systèmes (…) Nous prenons très au sérieux toute tentative de nuire à notre réputation ou à nos utilisateurs, et nous nous réservons le droit de poursuivre en justice les responsables de la diffusion de fausses informations et ceux qui tentent de profiter d’activités malveillantes. Chez Temu, la sécurité et la confidentialité de nos utilisateurs sont des priorités absolues. Nous adoptons les meilleures pratiques du secteur en matière de protection des données et de cybersécurité, afin que les consommateurs puissent faire leurs achats en toute sérénité sur notre plateforme. » Donc TEMU a retrouvé l’échantillon diffusé par le pirate et indique que ces informations ne viennent pas de chez eux. Je vous expliquais, en janvier 2024, comment TEMU avait annoncé blinder la cybersécurité de sa boutique. Au moment de cette mise à jour, le malveillant continue de promouvoir sa « vente » !

Mise à jour 17/09/2024 : le pirate a été banni de la plateforme où il tentait de vendre ce qu’il annonçait être des données TEMU. Les pirates, gestionnaires de l’espace de vente, lui ont reproché d’avoir diffusé, comme échantillon, des informations publiques. ZATAZ confirme que l’échantillon est identique à celui trouvé sur un site web de sauvegarde de texte comme le montre la capture écran ci-dessous. Le pirate, actif sur Telegram, n’a pas communiqué sur la suite de sa présumée vente. La petite annonce malveillante et l’échantillon sont toujours accessibles dans les pages du forum de hackers malveillants. Alors, fausse vente ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.