Lycamobile se fait syphoner, encore et encore !

Mais que se passe-t-il pour l’opérateur LycaMobile. Plusieurs pirates affirment avoir la main sur l’opérateur téléphonique depuis des semaines avec la mise en avant de nouvelles bases de données clients.

Lycamobile est un opérateur mobile virtuel (MVNO) britannique, fondé en 2006 par Allirajah Subaskaran. Spécialisé dans les services de téléphonie et d’Internet mobiles internationaux, il propose principalement des cartes SIM prépayées pour les appels internationaux. Présent dans 23 pays, dont la France, Lycamobile compte plus de 16 millions de clients à travers le monde. Depuis des mois la société semble être pillée de ses données par de nombreux pirates.

Chaque semaine, une nouvelle base de données

Ils signent Magouilleur (un français), Faggot, Trist829, KF, Krimco. Des pirates informatiques, des adeptes de bases de données. Depuis des mois, ils s’intéressent de très prêt à la société Lyca Mobile. Un intérêt suite aux affaires judiciaires de 2023 ? En octobre de cette même année, les filiales françaises de Lycamobile ont été condamnées à une amende de 10 millions d’euros pour des faits de blanchiment d’argent et d’escroquerie à la TVA. Le tribunal correctionnel de Paris avait estimé que ces sociétés avaient « participé sciemment à un système complexe et élaboré de blanchiment » entre 2014 et 2016, impliquant des sociétés-écrans et des revendeurs dans le quartier de la Chapelle à Paris. Ce système permettait à des entreprises du bâtiment d’obtenir des liquidités pour rémunérer illégalement des salariés. Lycamobile a fait appel de cette décision, affirmant que les accusations de blanchiment concernaient des activités parallèles de deux commerciaux licenciés dès la découverte des faits.

Petit détail, de taille, concernant cette nouvelle fuite LycaMobile (je parle ici de la fuite de février 2025), ZATAZ vous avez alerté d’un problème d’interception de données (scrapping) par le même groupe de pirates qui s’étaient attaqués à SFR, Corse GSM, Coriolis, Etc. Certains « nouveaux » pirates ont-ils eu accès au 0Day offrant l’accès aux informations des abonnés ?

Data leak : février 2025

La fuite de données révélée en février 2025, affecte plus de 1,5 million d’utilisateurs de Lyca Mobile. Cette intrusion a permis l’exfiltration de données sensibles, y compris des numéros de téléphone, des mails, des informations d’identification mobile et des données d’inscription. L’attaque aurait été menée après que LycaMobile a désactivé les outils de développement (DevTool) sur son panneau de gestion de revendeur et a limité les connexions simultanées à sa base de données. Profitant de ces vulnérabilités, un pirate a généré une plage de numéros de téléphone associés à l’opérateur Lyca Mobile et a commencé à aspirer les informations liées à ces comptes (sic!). C’est du moins ce qu’à pu lire ZATAZ de la main du bad hacker en question.

Après neuf jours d’extraction continue, l’attaquant a vu son serveur redémarrer pour une raison inconnue, l’empêchant d’achever son processus de collecte. Malgré cette interruption, une quantité significative de données a été récoltée. parmi les informations compromises : Numéro de téléphone (MOBILENUMBER) Code PUK1 ICCID (Identifiant de carte SIM) IMSI & IMSI2 (Identifiants d’abonné mobile), HLR (Localisation du numéro dans le réseau), adresse électronique, prénom et nom, date d’inscription. Le Service Veille ZATAZ, via le ZATAZ Watch, a retrouvé des échantillons des données volées sur Pastebin et 4 espaces pirates. Plusieurs liens de téléchargement ont été diffusés.

En janvier 2025, une autre fuite massive de données a affecté plus de 1,2 million d’utilisateurs via une attaque signée par le hacker « Magouilleur ». Celle-ci a compromis les adresses électroniques, les numéros de téléphone et les soldes des comptes d’utilisateurs.

⚠️ Pirates, fuites, dark web… ZATAZ Watch les repère avant qu’ils ne vous frappent !