Fuite pour CDiscount ?

Posted On 09 Déc 2022

Un mystérieux pirate propose à la vente plus de 20 millions de clients CDiscount ? Une fuite qui daterait d’août 2022.

Voilà qui ne va pas arranger l’ambiance web à quelques semaines de Noël. Un pirate informatique qui reprend le nom d’un logiciel dédié à exécuter des tests d’intrusion pour les développeurs afin que ces derniers trouvent et corrigent les failles dans leurs codes avant publications vient de diffuser une petite annonce qui vise la boutique en ligne CDiscount.

Le hacker malveillant parle d’une base de données de plus de 21 millions de clients. Une faille de type SQLi qui lui aurait permis, au mois d’août 2022, d’exfiltrer les identités, les adresses postales, les numéros de téléphone, les adresses électroniques. Pas de mots de passe, ni de données bancaires, mais de quoi réaliser des cyber attaques ciblées aux couleurs de l’entreprise française.

Menteur 2.0

Sauf que, vous vous en doutez bien, il y a une coui**** dans le potage ! Derrière ce pirate, un escroc. Il ne s’agit aucunement de la base de données de la cyber boutique française mais d’une « vieille » base de données volées à un site spécialisé dans les voyages en avion. ZATAZ vous parlait d’ailleurs de cette cyberattaque, vraie elle, en janvier 2021.

L’intérêt de ce voleur de commercialiser une fausse base de données ? Escroquer d’autres pirates. Il vendait son « produit » plus de 4 000$. A noter qu’il a été banni de plusieurs forums pirates où il avait diffusé sa petite annonce. Son pseudonyme est dorénavant affublé du mot « Scammeur » (voleur).

ZATAZ a appris qu’un des forums avait diffusé les informations de connexion de l’escroc, IP en tête. Le Service Veille a retrouvé plusieurs échantillons des données vendus par ce pirate caché sur un site Canadien, sorte de pastebin anonymisé.

Nous aurions pu passer sous silence cette information, mais il est important de couper l’herbe sous le pied à la rumeur de ce piratage de CDiscount qui n’existe pas !

Concernant les données vendues par le pirate, eux, existent bien. Des personnes (plusieurs dizaines de milliers) piratées en janvier 2021, continuent d’être exploités par divers voyous sur la toile.

On en parle, vendredi soir, dès 19 heures, dans l’émission Twitch de ZATAZ. [replay].

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

$NIS corriger une fuite de données Infraction de sécurité$

2 Comments

Régis 10/12/2022 at 01:20 Reply

Bonjour
Je travaille chez Cdiscount, et je ne parle qu’en mon nom.
La sécurité est une obsession chez nous.
Je vais reporter cette nouvelle pour voir ce qu’on peut faire.
Une chose est sûre, nous ne négocions jamais.
Bien à vous
- Damien Bancal 14/12/2022 at 11:28 Reply
  
  Bonjour Régis,
  Comme expliqué dans l’article, j’ai contacté DPO/RSSI, et le sujet a été évoqué quelques minutes plus tard.
  Merci à vous.
  D.