Fuite pour CDiscount ?

Posted On 09 Déc 2022

Un mystérieux pirate propose à la vente plus de 20 millions de clients CDiscount ? Une fuite qui daterait d’août 2022.

Voilà qui ne va pas arranger l’ambiance web à quelques semaines de Noël. Un pirate informatique qui reprend le nom d’un logiciel dédié à exécuter des tests d’intrusion pour les développeurs afin que ces derniers trouvent et corrigent les failles dans leurs codes avant publications vient de diffuser une petite annonce qui vise la boutique en ligne CDiscount.

Le hacker malveillant parle d’une base de données de plus de 21 millions de clients. Une faille de type SQLi qui lui aurait permis, au mois d’août 2022, d’exfiltrer les identités, les adresses postales, les numéros de téléphone, les adresses électroniques. Pas de mots de passe, ni de données bancaires, mais de quoi réaliser des cyber attaques ciblées aux couleurs de l’entreprise française.

Menteur 2.0

Sauf que, vous vous en doutez bien, il y a une coui**** dans le potage ! Derrière ce pirate, un escroc. Il ne s’agit aucunement de la base de données de la cyber boutique française mais d’une « vieille » base de données volées à un site spécialisé dans les voyages en avion. ZATAZ vous parlait d’ailleurs de cette cyberattaque, vraie elle, en janvier 2021.

L’intérêt de ce voleur de commercialiser une fausse base de données ? Escroquer d’autres pirates. Il vendait son « produit » plus de 4 000$. A noter qu’il a été banni de plusieurs forums pirates où il avait diffusé sa petite annonce. Son pseudonyme est dorénavant affublé du mot « Scammeur » (voleur).

ZATAZ a appris qu’un des forums avait diffusé les informations de connexion de l’escroc, IP en tête. Le Service Veille a retrouvé plusieurs échantillons des données vendus par ce pirate caché sur un site Canadien, sorte de pastebin anonymisé.

Nous aurions pu passer sous silence cette information, mais il est important de couper l’herbe sous le pied à la rumeur de ce piratage de CDiscount qui n’existe pas !

Concernant les données vendues par le pirate, eux, existent bien. Des personnes (plusieurs dizaines de milliers) piratées en janvier 2021, continuent d’être exploités par divers voyous sur la toile.

On en parle, vendredi soir, dès 19 heures, dans l’émission Twitch de ZATAZ. [replay].

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

$NIS corriger une fuite de données Infraction de sécurité$

2 Comments

Régis 10/12/2022 at 01:20 Reply

Bonjour
Je travaille chez Cdiscount, et je ne parle qu’en mon nom.
La sécurité est une obsession chez nous.
Je vais reporter cette nouvelle pour voir ce qu’on peut faire.
Une chose est sûre, nous ne négocions jamais.
Bien à vous
- Damien Bancal 14/12/2022 at 11:28 Reply
  
  Bonjour Régis,
  Comme expliqué dans l’article, j’ai contacté DPO/RSSI, et le sujet a été évoqué quelques minutes plus tard.
  Merci à vous.
  D.