fuite de données clients

Fuite de données pour Sephora

L’enseigne de distribution de produits cosmétiques Sephora face à une fuite de données clients de plusieurs centaines de milliers de données personnelles.

Parfum, rouge à lèvre, poudre lumière aux pigments colorés … et dorénavant bases de données. La marque Sephora, spécialiste de la distribution de produits de beauté, fait face depuis février 2019 à la ponction de plusieurs millions de données clients.

Des informations volées dans deux sites asiatiques de la marque (Indonésie et Thaïlande). Une entreprise de cybersécurité Russe a indiqué avoir trouvé, via un outil interne, des ventes de données Sephora dans le black market.

« L’outil » internet est surtout le moteur de recherche de ce site pirate 🙂

ZATAZ suit les ventes de ces données depuis leurs premières mises en ligne, en mai 2019. Le Service Veille surveille la diffusion/vente de données de Français, Européens, Canadiens. Ce qui est le cas pour ces deux sites ! D’ailleurs, les abonnées au service veille ZATAZ avaient été alertés des fuites en question.

Sephora France est aussi la cible de boutiques « dédiées » aux informations de ses clients. Les deux grands rectangles sont des extraits des BDD Thaï et Indonésienne en vente… avec des .fr.

Comme chez le parfumeur, échantillons gratuits

Les pirates vendeurs, ils sont au moins trois* diffusent des échantillons à la demande… ou tout simplement via des liens proposés dans le forum dédié à leur vente. Autant dire que l’outil ultra secret des Russes est aussi réaliste que de se promener sur une plage privée installée sur la face cachée de la lune.

Trois liens échantillons avec de nombreuses informations, allant du mail, mot de passe, ip en passant par les identités, les adresses. Des piratages qui auraient eu lieu entre janvier et février 2019 dans les serveurs des sites Sephora.co.id (aucune alerte sur le site) et Sephora.co.th (aucune alerte sur le site) . Les mots de passe sont présents dans les extraits. Chiffrés avec bcrypt.

Un pirate s’est spécialisé dans la commercialisation de points fidélités volés à des clients.

Piratage en début d’année 2019 ?

La première vente date du 9 juillet 2019 : 233 941 clients dans un dossier de 18 Mo (Thaïlande) et 307 247 utilisateurs dans une BDD de 22 Mo (Indonésie).

Des informations qu’ils étaient possibles de récupérer, fin février 2019, dans deux black market privés.

Mais qu’en est-il des données de clients Français ? ZATAZ peut confirmer la présence de francophones dans les deux bases de données mises en vente. À noter que les données, décortiquées par des acheteurs, se retrouvent déjà en vente, à la pièce, dans plusieurs boutiques pirates de part le monde.

Une boutique pirate, par exemple (ma capture écran ci-dessus, NDR) propose de recevoir l’accès à un compte client et d’utiliser les points Sephora en caisse. Des points de fidélité engrangés lors d’achats effectués par un client légitime.

Le blacknaute, l’acheteur de la donnée volée, en profitera sur le dos de Sephora et du client. « Utilisez l’adresse e-mail et le mot de passe que vous avez reçus pour vous connecter à l’application mobile Sephora. Après votre connexion il y aura un onglet points sous lequel vous trouverez une option pour afficher la carte. Cliquez dessus pour recevoir votre code barres. Le caissier le scannera cela lorsque vous utiliserez les points » explique le vendeur pirate.

Sephora France est aussi la cible de boutiques dédiées à la vente d’informations de ses clients. Ils sont revendus à la pièce, entre 2 et 10€.

Pour palier ce genre de vol (via piratage, phishing, …) ZATAZ vous conseille fortement de changer votre mot de passe.

Le Service veille ZATAZ surveille pour vous les sites pirates. Mission vous alerter en cas de découverte d’informations piratées, vous appartenant.

 

        * trois pirates commercialisent des données Sephora Asie. Il est possible qu’un seul pirate se cache derrière ces trois propositions.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.