Fuite de données de clients Zalando

Posted On 15 Jan 2017

Tag: data leak, données, filoutage, fuite, hameçonnage, phishing, zalando

Étonnante liste d’informations de 160 pages concernant des clients Zalando. Phishing ? Vol ? Fuite de données ? Enquête en cours !

Le week-end dernier, j’ai pu constater une étrange fuite de données tirée d’une base d’informations concernant des clients de la boutique en ligne Zalando. 213Ko de noms, prénoms, mails et mots de passe. Dans un premier temps, je pencherai pour un phishing même si le document de 160 pages Word regroupe plusieurs milliers de données collectées. Une masse d’informations étonnante pour un simple hameçonnage, mais pourquoi pas.

Fuite de données

Cependant, un autre petit détail m’interpelle dans cette fuite d’informations clients. Il est possible de voir le prix d’un produit. Est-ce un achat effectué sur le site [il n’y a pas d’autres références, NDR] ou un leurre du phishing. J’ai sélectionné au hasard, 35 comptes. J’ai écrit aux personnes concernées. Une des adresses m’est revenue avec une erreur. J’attends la réponse des 34 autres.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

5 Comments

Pierre 17/01/2017 at 00:53 Reply

Si une connaissance possède un compte zalando comment peut elle savoir si elle fait partie de la liste des comptes divulgués ?
- Damien Bancal 18/01/2017 at 16:26 Reply
  
  Bonjour,
  Envoyez nous un mail et nous vous confirmerons, ou pas, votre présence.
  Cordialement
ELGUE MONIQUE 24/01/2017 at 15:33 Reply

Le 16/01/2017 J’AI DEMANDE 2 ACTES DE NAISSANCES PAYES PAR CARTE BANCAIRE 29,90 EUROS +29?90 EUROS SOIT 59,80 EUROS ESCROQUERIE
MT 19/12/2017 at 15:53 Reply

Dernièrement, j’ai eu la triste expérience d’avoir des commandes frauduleuses effectuées à partir de mon compte xxxxx [marque retirée par ZATAZ]. Ce site à un niveau de sécurité insuffisant : Aucune possibilité de supprimer soi même les informations de CB enregistrées quand on se rend compte qu’elles l’ont été. Pas de paiement 3D secure, pas de confirmation des trois numéros au dos de la carte lors du paiement.
J’ajouterai que je n’ai pas été victime de phishing avec vol de mes identifiants, la fuite provient bien de leurs serveurs ou alors ils ont des brebis galeuses au sein de leur personnel.
Leur comportement est totalement irresponsable ne prenant aucune mesure pour renforcer la sécurité des données personnelles de leurs clients.
J’attends avec impatience la mise en application du RGPD.
- Damien Bancal 20/12/2017 at 23:56 Reply
  
  Bonjour,
  Merci pour votre message !
  J’ai retiré le nom de la société qui pourrait, même si cette dernière est en tord, me proposer de rencontrer le tribunal pour diffamation. Cependant, je vais me pencher sur ce cas, et alerter la CNIL le cas échéant, sans attendre le RGPD.