Fuite de données : PrivateSportShop, La becanerie et Motoblouz

Plusieurs fuites de données de Français découvertes dans le black market. Parmi les nouvelles détections du Service veille ZATAZ : PrivateSportShop, La Becanerie et Motoblouz.

Alors que le Canada avec l’affaire Desjardins et les USA avec la banque Capital One sont montrés du doigt à la suite de plusieurs fuites de données orchestrées par d’anciens employés, voici d’autres informations personnelles perdues dans les mains de pirates. Des contenus détectés par le Service Veille ZATAZ. Cette fois, il s’agit de trois sites spécialisés dans le sport et la moto : PrivateSportShop, La Becanerie et Motoblouz.

Quoi ?

Pour le cas de Private Sport Shop, le pirate annonce une vente de plus de 97 000 données clients. Il en espère… 388 000€ ! Il faut pour cela qu’il commercialise l’ensemble des informations. Les clients sont vendus « à la pièce » entre 2 et 6€. Le prix varie selon la possibilité d’accéder à d’autres sites et webmail avec les mêmes identifiants.

Le client exploitant le même mot de passe sur différents supports numériques.

La Becanerie (+1400) et Motoblouz (+3200) accumulent à eux deux plus de 4 600 clients dans les mains de pirates.

Ici aussi, les infos vendues pour une somme globale de plus 94 000€.

Les pirates n’expliquent pas si les « packs » vendus ont été confectionnés à la suite de piratage, de phishing ou de credential stuffing. Le Service Veille confirme que les ventes comprennent : l’adresse mail du client victime, son identité, son code postal, l’historique de ses commandes, son mot de passe, l’accès à d’autre sites, …

Credential stuffing, l’ennemi de toujours

Le Credential stuffing est une méthode simple et ultra efficace de mettre la main sur des accès à des sites web. Comment ? Le CS consiste à utiliser les identifiants volés à un internaute. Un logins, mot de passe, pseudo … qui permettent d’accéder à un site A.

Le credential stuffing automatise les tentatives d’accès à plusieurs comptes, sur divers sites. Si vous exploitez le même mot de passe sur les portails web A, B, C, D, les outils d’automatisation de « credential stuffing vont permettre aux pirates d’accéder non seulement au compte A, mais aussi aux B, C, D.

PrivateSportShop, La becanerie et Motoblouz ont été contactés. Aucune réponse pour le moment.

Les abonnés au Service Veille ZATAZ avertis, il y a quelques jours, au moment de l’alerte à destination des entreprises impactées.

Pour se protéger

Dans le doute, réinitialisation de votre mot de passe. N’utilisez pas le même sésame sur d’autres sites. Dans la mesure du possible, tout comme le password, un mail différent par portail web.

Mise à jour 31/07/2019 :

Motoblouz a répondu à ZATAZ. La société confirme avoir subi des tentatives de connexions le 3 avril 2019, exploitant des mails et mots de passe dérobés auparavant sur d’autres plateformes que Motoblouz. « Nos équipes ont constaté et mis fin à cette attaque dans l’heure. Le jour même, les 2 444 comptes clients concernés ont été immédiatement sécurisés et des mesures de sécurité supplémentaires ont été mises en oeuvre.« 

Conformément au RGPD et à la CNIL, la société a notifié les autorités compétentes le 5 avril 2019. « Motoblouz ne détenant aucune données bancaires, celles qui ont été potentiellement consultées sont : nom, prénom, adresse et historique de commande« . Motoblouz rappelle sur son site l’importance d’utiliser des mots de passe sécurisés et uniques à chaque compte.

Mise à jour 01/08/2019 : La Becanerie, après avoir reçu notre courriel, a diffusé un communiqué de presse via Twitter.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.