L’enseigne de distribution de produits cosmétiques Sephora face à une fuite de données clients de plusieurs centaines de milliers de données personnelles.

Parfum, rouge à lèvre, poudre lumière aux pigments colorés … et dorénavant bases de données. La marque Sephora, spécialiste de la distribution de produits de beauté, fait face depuis février 2019 à la ponction de plusieurs millions de données clients.

Des informations volées dans deux sites asiatiques de la marque (Indonésie et Thaïlande). Une entreprise de cybersécurité Russe a indiqué avoir trouvé, via un outil interne, des ventes de données Sephora dans le black market.

« L’outil » internet est surtout le moteur de recherche de ce site pirate 🙂

ZATAZ suit les ventes de ces données depuis leurs premières mises en ligne, en mai 2019. Le Service Veille surveille la diffusion/vente de données de Français, Européens, Canadiens. Ce qui est le cas pour ces deux sites ! D’ailleurs, les abonnées au service veille ZATAZ avaient été alertés des fuites en question.

Sephora France est aussi la cible de boutiques « dédiées » aux informations de ses clients. Les deux grands rectangles sont des extraits des BDD Thaï et Indonésienne en vente… avec des .fr.

Comme chez le parfumeur, échantillons gratuits

Les pirates vendeurs, ils sont au moins trois* diffusent des échantillons à la demande… ou tout simplement via des liens proposés dans le forum dédié à leur vente. Autant dire que l’outil ultra secret des Russes est aussi réaliste que de se promener sur une plage privée installée sur la face cachée de la lune.

Trois liens échantillons avec de nombreuses informations, allant du mail, mot de passe, ip en passant par les identités, les adresses. Des piratages qui auraient eu lieu entre janvier et février 2019 dans les serveurs des sites Sephora.co.id (aucune alerte sur le site) et Sephora.co.th (aucune alerte sur le site) . Les mots de passe sont présents dans les extraits. Chiffrés avec bcrypt.

Un pirate s’est spécialisé dans la commercialisation de points fidélités volés à des clients.

Piratage en début d’année 2019 ?

La première vente date du 9 juillet 2019 : 233 941 clients dans un dossier de 18 Mo (Thaïlande) et 307 247 utilisateurs dans une BDD de 22 Mo (Indonésie).

Des informations qu’ils étaient possibles de récupérer, fin février 2019, dans deux black market privés.

Mais qu’en est-il des données de clients Français ? ZATAZ peut confirmer la présence de francophones dans les deux bases de données mises en vente. À noter que les données, décortiquées par des acheteurs, se retrouvent déjà en vente, à la pièce, dans plusieurs boutiques pirates de part le monde.

Une boutique pirate, par exemple (ma capture écran ci-dessus, NDR) propose de recevoir l’accès à un compte client et d’utiliser les points Sephora en caisse. Des points de fidélité engrangés lors d’achats effectués par un client légitime.

Le blacknaute, l’acheteur de la donnée volée, en profitera sur le dos de Sephora et du client. « Utilisez l’adresse e-mail et le mot de passe que vous avez reçus pour vous connecter à l’application mobile Sephora. Après votre connexion il y aura un onglet points sous lequel vous trouverez une option pour afficher la carte. Cliquez dessus pour recevoir votre code barres. Le caissier le scannera cela lorsque vous utiliserez les points » explique le vendeur pirate.

Sephora France est aussi la cible de boutiques dédiées à la vente d’informations de ses clients. Ils sont revendus à la pièce, entre 2 et 10€.

Pour palier ce genre de vol (via piratage, phishing, …) ZATAZ vous conseille fortement de changer votre mot de passe.

Le Service veille ZATAZ surveille pour vous les sites pirates. Mission vous alerter en cas de découverte d’informations piratées, vous appartenant.

* trois pirates commercialisent des données Sephora Asie. Il est possible qu’un seul pirate se cache derrière ces trois propositions.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.