Plus de deux millions de clients Yves Rocher ressortent dans le black market

En 2019, une fuite de données est annoncée par un vendeur de VPN. Un an et demi plus tard, deux millions de données clients de la marque Yves Rocher apparaissent dans plusieurs blackmarket surveillés par ZATAZ. Plus de deux millions de clients canadiens sont concernés.

Septembre 2019, un vendeur de VPN s’était spécialisé dans les annonces de découvertes d’espaces de stockage (cloud, ElasticSeach …) mal sécurisés. En septembre, il annonçait à grands coups de communiqués de presse la découverte d’une fuite d’information ayant impacté la marque des cosmétiques Yves Rocher. C’est la filiale canadienne qui était montrée du doigt à l’époque. Le vendeur de VPN avait reçu l’information d’un internaute.

Ce dernier avait été payé pour que soit gardée l’exclusivité.

A l’époque, la fuite partait d’une API de l’enseigne. Elle permettait non seulement aux utilisateurs d’accéder aux données des clients, mais également d’ajouter, de supprimer et/ou de modifier ces données. La base de données de l’époque était détenue et gérée par une société de conseil française.

Extrait des données volées, vendues et diffusées par plusieurs pirates. – Capture écran : zataz.com

2,4 millions de clients

Vingt mois plus tard, une base de données de 2,4 millions de données de clients d’Yves Rocher Canada apparait dans plusieurs ventes que ZATAZ a repéré sur le web et dans le darknet. 23 liens permettent de la télécharger. Une base d’informations que ZATAZ a pu intercepter. Un document de 320M comprenant : identités, adresses, téléphones, numéros de clients …

Une fuite et un parallèle troublants ! Rien ne laisse penser qu’il s’agit des mêmes informations. Rien ne prouve le contraire non plus !