Fuite de datas

Fuite de datas pour withings.com : changez votre mot de passe

Depuis plusieurs jours une base de données de plusieurs centaines de comptes appartenant à des utilisateurs de withings.com diffusées dans des repères de pirates. ZATAZ vous conseille de changer votre mot de passe.

Le site withings.com, du groupe Nokia, semble avoir des problèmes de fuite de datas. J’ai pu constater plusieurs centaines de mails et mots de passe concernant des utilisateurs du portail dédié aux objets connectés. Le document est diffusé dans plusieurs espaces pirates.

Des comptes « clients » qui fonctionnent via le portail withings.com. J’ai pris au hasard de cette liste 10 identifiants. J’ai contacté les utilisateurs. Les accès fonctionnent encore. Certains datent de 2016. Des accès à des baby phone ou encore à des systèmes connectés dédiés à la santé (perte de poids, …).

J’ai tenté de joindre l’entreprise via son service presse (JFK et DP chez licencek.com), ainsi que des tweets aux fondateurs de l’entreprise, via le Protocole d’alerte ZATAZ n’180620172023. Malheureusement, aucune réponse pour faire stopper cette fuite de datas. Nokia et les personnes contactées sont rentrées en relation avec moi. Nokaia indique : « We are investigating a report of a potential compromise through a third party of Withings login information affecting a small number of user accounts. We have notified affected account holders and are taking steps in accordance with all applicable local laws and protocols to determine the extent of any data exposure. The security and privacy of our users is our top priority. » La société confirme une enquête interne en cours. Nokia indique s’être approchée des autorités et termine en indiquant que « La sécurité et la confidentialité de nos utilisateurs est notre priorité absolue.« 

Impossible, pour le moment, de savoir comme les diffuseurs de ces données volées ont eu accès à ces dernières. Phishing, attaque directe sur la base de données ?

https://twitter.com/Damien_Bancal/status/876505377055145984

En attendant d’en savoir plus, je vous conseille fortement de changer votre mot de passe, surtout si ce dernier est exploité, ce qui ne devrait pas être le cas, sur d’autres espaces numériques.

Comme il est de coutume dans le cas d’une fuite d’information concernant des Français, la CNIL a été saisie.

Mise à jour : Nokia m’a contacté de nouveau à la suite de ses investigations : « Nous avons été récemment informés qu’un petit nombre d’identifiants d’utilisateurs a fait l’objet d’une fuite de données depuis des services tiers avec lesquels nous ne sommes pas affiliés. Nous avons immédiatement notifié les utilisateurs en leur demandant de modifier leur mot de passe afin de protéger leurs données et ainsi d’empêcher à des tiers d’y accéder. À ce jour aucune preuve n’atteste d’une intrusion ou d’un piratage de nos serveurs et centres de données.

Les identifiants de connexion en question semblent provenir […] d’une base de données créée anonymement et agrégeant des données issues d’anciennes fuites de données de services tiers avec lesquels nous ne sommes pas affiliés.

La sécurité et la protection de la vie privée de nos utilisateurs est notre priorité. Il est recommandé de ne pas utiliser le même mot de passe sur plusieurs services et de modifier ce mot de passe régulièrement. Ceci afin de réduire les risques d’une potentielle ré-utilisation des identifiants de connexion sur plusieurs services en cas de fuite de données.« 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. anonyme

    Poster une fausse info alors qu’il y a rien ca s’appelle pas une fake news ?

    • Damien Bancal

      Demandez à Nokia, ou alors lisez leur communiqué de presse à ce sujet.