Fuite de données : PrivateSportShop, La becanerie et Motoblouz
Plusieurs fuites de données de Français découvertes dans le black market. Parmi les nouvelles détections du Service veille ZATAZ : PrivateSportShop, La Becanerie et Motoblouz.
Alors que le Canada avec l’affaire Desjardins et les USA avec la banque Capital One sont montrés du doigt à la suite de plusieurs fuites de données orchestrées par d’anciens employés, voici d’autres informations personnelles perdues dans les mains de pirates. Des contenus détectés par le Service Veille ZATAZ. Cette fois, il s’agit de trois sites spécialisés dans le sport et la moto : PrivateSportShop, La Becanerie et Motoblouz.
Quoi ?
Pour le cas de Private Sport Shop, le pirate annonce une vente de plus de 97 000 données clients. Il en espère… 388 000€ ! Il faut pour cela qu’il commercialise l’ensemble des informations. Les clients sont vendus « à la pièce » entre 2 et 6€. Le prix varie selon la possibilité d’accéder à d’autres sites et webmail avec les mêmes identifiants.
Le client exploitant le même mot de passe sur différents supports numériques.
La Becanerie (+1400) et Motoblouz (+3200) accumulent à eux deux plus de 4 600 clients dans les mains de pirates.
Ici aussi, les infos vendues pour une somme globale de plus 94 000€.
Les pirates n’expliquent pas si les « packs » vendus ont été confectionnés à la suite de piratage, de phishing ou de credential stuffing. Le Service Veille confirme que les ventes comprennent : l’adresse mail du client victime, son identité, son code postal, l’historique de ses commandes, son mot de passe, l’accès à d’autre sites, …
Credential stuffing, l’ennemi de toujours
Le Credential stuffing est une méthode simple et ultra efficace de mettre la main sur des accès à des sites web. Comment ? Le CS consiste à utiliser les identifiants volés à un internaute. Un logins, mot de passe, pseudo … qui permettent d’accéder à un site A.
Le credential stuffing automatise les tentatives d’accès à plusieurs comptes, sur divers sites. Si vous exploitez le même mot de passe sur les portails web A, B, C, D, les outils d’automatisation de « credential stuffing vont permettre aux pirates d’accéder non seulement au compte A, mais aussi aux B, C, D.
PrivateSportShop, La becanerie et Motoblouz ont été contactés. Aucune réponse pour le moment.
Les abonnés au Service Veille ZATAZ avertis, il y a quelques jours, au moment de l’alerte à destination des entreprises impactées.
Pour se protéger
Dans le doute, réinitialisation de votre mot de passe. N’utilisez pas le même sésame sur d’autres sites. Dans la mesure du possible, tout comme le password, un mail différent par portail web.
Mise à jour 31/07/2019 :
Motoblouz a répondu à ZATAZ. La société confirme avoir subi des tentatives de connexions le 3 avril 2019, exploitant des mails et mots de passe dérobés auparavant sur d’autres plateformes que Motoblouz. « Nos équipes ont constaté et mis fin à cette attaque dans l’heure. Le jour même, les 2 444 comptes clients concernés ont été immédiatement sécurisés et des mesures de sécurité supplémentaires ont été mises en oeuvre.«
Conformément au RGPD et à la CNIL, la société a notifié les autorités compétentes le 5 avril 2019. « Motoblouz ne détenant aucune données bancaires, celles qui ont été potentiellement consultées sont : nom, prénom, adresse et historique de commande« . Motoblouz rappelle sur son site l’importance d’utiliser des mots de passe sécurisés et uniques à chaque compte.
Mise à jour 01/08/2019 : La Becanerie, après avoir reçu notre courriel, a diffusé un communiqué de presse via Twitter.
— La Bécanerie (@La_Becanerie) August 1, 2019