Fuite massive de données chez 1Win : 3 mois aprés des pirates font le tri !

Le 7 novembre 2024, une fuite de données impliquant le casino 1Win a exposé les informations personnelles de millions d’utilisateurs. Trois mois plus tard, ZATAZ découvre des dizaines de petites bases de données. Des pirates ont fait le tri. Des milliers de Français concernés.

La sécurité des données personnelles est une préoccupation grandissante dans le secteur des jeux d’argent en ligne, une industrie pesant plus de 300 milliards de dollars. Récemment, 1Win, une plateforme internationale de paris, a été victime d’une fuite massive de données. Près de 450 millions de lignes contenant noms, numéros de téléphone et adresses e-mail des clients ont été exposées, suscitant des inquiétudes quant à la protection des utilisateurs. Ce scandale soulève également des questions sur les risques associés à l’utilisation de plateformes non réglementées dans des pays comme la France, où la législation sur les jeux en ligne est stricte.

Une attaque d’envergure

Le 7 novembre 2024, plusieurs chaînes Telegram et médias ont rapporté une fuite colossale de données personnelles issue de la plateforme de paris 1Win. Selon ces sources, un utilisateur identifié comme « fe0dor » a publié la base de données compromise sur le forum exploit.in. Le post de l’époque a depuis été effacé. Les fichiers, compressés au format .rar, contenaient plusieurs tables SQL regroupant les données sensibles des clients de 1Win.

Parmi les fichiers dévoilés figuraient users.sql, contenant les noms, prénoms et numéros de téléphone ; ma_users.sql, regroupant des informations similaires et Partner_keys.sql, il contenait des clés et des accès spécifiques des partenaires du casino et des clients passant par ces biais.

Le pirate a révélé qu’il détenait d’autres tables sensibles, telles que ma_deposits.sql et ma_withdraws.sql, sans toutefois les publier. Une fuite qui met en lumière plusieurs élèments. D’abord, les lacunes de sécurité de la plateforme, qui revendique pourtant une présence dans plus de 50 pays et une communauté mondiale de 10 millions de joueurs. Ensuite, le fait que des centaines de milliers d’internautes utilisent un casino illégal dans de nombreux pays.

Une tentative de chantage à grande échelle

Selon les déclarations officielles de 1Win sur Telegram, les attaquants ont initialement demandé un million de dollars pour ne pas divulguer la base de données. Cependant, au fil des négociations, cette somme a grimpé à 15 millions de dollars. Malgré ces pressions, une partie des données a été rendue publique, exerçant une pression supplémentaire sur l’équipe de 1Win. « Les maîtres chanteurs ont décidé de divulguer une partie de la base de données pour soutirer plus d’argent« , a déclaré le représentant de 1Win.

Outre le préjudice immédiat pour les utilisateurs, cette fuite illustre les risques encourus par les joueurs lorsqu’ils utilisent des plateformes non réglementées, notamment celles dotées de licences émises par des juridictions moins strictes, comme Curaçao. Le casino est enregistré dans ce pays.

Trois mois après l’alerte initiale de 1Win, ZATAZ révèle qu’en ce mois de janvier 2025, un pirate diffuse de petites bases de données issues d’un tri apparent des informations d’origine. Parmi celles-ci, une base baptisée 1WinFr contenant les données de plus de 75 000 client.e.s en France a été identifiée. Des bases similaires ont été retrouvées pour la Belgique, la Suisse, ainsi que pour 24 utilisateurs du Québec exploitant une adresse en qc.ca. Ce nouveau développement montre que les conséquences de la fuite initiale continuent de se manifester, compromettant toujours davantage les utilisateurs.

La réglementation en France : un cadre sécurisé

En France, la législation en matière de jeux d’argent en ligne est stricte. Depuis la loi du 12 mai 2010, seuls les paris sportifs, les paris hippiques et le poker sont autorisés en ligne. Les jeux de casino traditionnels, tels que la roulette ou les machines à sous, restent interdits. Cette réglementation est supervisée par l’Autorité Nationale des Jeux (ANJ), qui garantit la protection des joueurs et veille au respect des normes légales. 1Win, détenant une licence émise par Curaçao, n’est pas autorisée à opérer en France. Bilan, jouer sur des plateformes non agréées présente des risques importants.

D’abord pour la protection des données personnelles. Les sites non réglementés ne respectent pas toujours les standards de sécurité et la les joueurs n’ont plus que leurs yeux pour pleurer à la suite de cette fuite de données personnelles. Ensuite, les risques liés à la sécurité financière. Les garanties en cas de litige sont souvent inexistantes ; Enfin, les recours limités voir inexistants. Les joueurs ne peuvent pas bénéficier de la protection juridique offerte par les sites agréés.

Cet épisode rappelle que l’exploitation des données compromises peut avoir des conséquences graves pour les utilisateurs, notamment en termes de fraude ou de vol d’identité. L’ANJ publie régulièrement une liste des opérateurs agréés sur son site officiel. Cette transparence permet aux joueurs de s’assurer qu’ils utilisent des plateformes conformes à la législation française.

Pour ne rien manquer des actualités les plus importantes dans le domaine de la cybersécurité et être aux premières loges des derniers rebondissements, abonnez-vous gratuitement à la newsletter de ZATAZRejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Stockage Courtage Reply

    Merci pour cet article. Vous mettez en lumière l’importance d’une réglementation stricte pour protéger les utilisateurs. Une question persiste : quelles mesures les autorités pourraient-elles renforcer ou introduire pour mieux sensibiliser les utilisateurs et prévenir de telles fuites de données dans des secteurs non réglementés ?

    • Damien Bancal Reply

      Bonjour,
      Très compliqué. L’utilisateur reste maître de sa consommation. Les régulateurs communiquent, diffusent des messages de préventions, Etc. Mais, en face, les casinos ont des moyens d’accroche qui dépassent largement les moyens des régulateurs. L’utilisateur connait les dangers.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.