3422 code bureau 92829 *
Fuite de datas

Fuite de datas pour withings.com : changez votre mot de passe

Depuis plusieurs jours une base de données de plusieurs centaines de comptes appartenant à des utilisateurs de withings.com diffusées dans des repères de pirates. ZATAZ vous conseille de changer votre mot de passe.

Le site withings.com, du groupe Nokia, semble avoir des problèmes de fuite de datas. J’ai pu constater plusieurs centaines de mails et mots de passe concernant des utilisateurs du portail dédié aux objets connectés. Le document est diffusé dans plusieurs espaces pirates.

Des comptes « clients » qui fonctionnent via le portail withings.com. J’ai pris au hasard de cette liste 10 identifiants. J’ai contacté les utilisateurs. Les accès fonctionnent encore. Certains datent de 2016. Des accès à des baby phone ou encore à des systèmes connectés dédiés à la santé (perte de poids, …).

J’ai tenté de joindre l’entreprise via son service presse (JFK et DP chez licencek.com), ainsi que des tweets aux fondateurs de l’entreprise, via le Protocole d’alerte ZATAZ n’180620172023. Malheureusement, aucune réponse pour faire stopper cette fuite de datas. Nokia et les personnes contactées sont rentrées en relation avec moi. Nokaia indique : « We are investigating a report of a potential compromise through a third party of Withings login information affecting a small number of user accounts. We have notified affected account holders and are taking steps in accordance with all applicable local laws and protocols to determine the extent of any data exposure. The security and privacy of our users is our top priority. » La société confirme une enquête interne en cours. Nokia indique s’être approchée des autorités et termine en indiquant que « La sécurité et la confidentialité de nos utilisateurs est notre priorité absolue.« 

Impossible, pour le moment, de savoir comme les diffuseurs de ces données volées ont eu accès à ces dernières. Phishing, attaque directe sur la base de données ?

En attendant d’en savoir plus, je vous conseille fortement de changer votre mot de passe, surtout si ce dernier est exploité, ce qui ne devrait pas être le cas, sur d’autres espaces numériques.

Comme il est de coutume dans le cas d’une fuite d’information concernant des Français, la CNIL a été saisie.

Mise à jour : Nokia m’a contacté de nouveau à la suite de ses investigations : « Nous avons été récemment informés qu’un petit nombre d’identifiants d’utilisateurs a fait l’objet d’une fuite de données depuis des services tiers avec lesquels nous ne sommes pas affiliés. Nous avons immédiatement notifié les utilisateurs en leur demandant de modifier leur mot de passe afin de protéger leurs données et ainsi d’empêcher à des tiers d’y accéder. À ce jour aucune preuve n’atteste d’une intrusion ou d’un piratage de nos serveurs et centres de données.

Les identifiants de connexion en question semblent provenir […] d’une base de données créée anonymement et agrégeant des données issues d’anciennes fuites de données de services tiers avec lesquels nous ne sommes pas affiliés.

La sécurité et la protection de la vie privée de nos utilisateurs est notre priorité. Il est recommandé de ne pas utiliser le même mot de passe sur plusieurs services et de modifier ce mot de passe régulièrement. Ceci afin de réduire les risques d’une potentielle ré-utilisation des identifiants de connexion sur plusieurs services en cas de fuite de données.« 

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ - Journaliste - Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel "Amstar & CPC". Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l'Echo des Savanes, Le Canard Enchaîné, France 3, ...). Auteurs et coauteurs de 6 livres dont "Pirates & hackers sur Internet" (Ed. Desmart) ; "Hacker, le 5ème pouvoir" (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) de l'Université de Valenciennes ; pour l'Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Articles connexes

  1. anonyme Reply

    Poster une fausse info alors qu’il y a rien ca s’appelle pas une fake news ?

    • Damien Bancal Reply

      Demandez à Nokia, ou alors lisez leur communiqué de presse à ce sujet.

Laisser un commentaire

*