Un important équipementier sportif découvre qu’il est piraté depuis 2 ans

Un détaillant d’équipements pour les sportifs alerte sur la fuite des données de 10 millions de ses clients. Le problème durait depuis 2 ans !

J0cker is back ? L’enseigne britannique JD Sports, spécialisée dans la vente d’équipements sportifs, vient d’annoncer une intrusion informatique dans ses serveurs.

Le pirate informatique a pu voler les informations personnelles de 10 millions de clients. Un piratage qui aurait pu paraitre banal, tant les fuites de données s’enchaînent depuis des années. Rien que depuis le 1er janvier 2023, le Service Veille ZATAZ, qui permet de vous alerter et vous protéger du détournement de vos informations personnelles par des pirates, a déjà additionné plus de 600 millions de données uniques pris en main par des hackers malveillants !

Pas banal donc, car le pirate était dans les serveurs depuis 2 ans ! Les noms, les adresses de facturation et de livraison, ainsi que les e-mails, les numéros de téléphone et les détails des commandes font partie des informations consultées par les pirates entre novembre 2018 et octobre 2020.

2 ans plus tard !

La société n’a pas révélé comment l’incident a été découvert, pourquoi il s’est terminé en octobre 2020 – il y a 27 mois – ni pourquoi il n’était confirmé que maintenant. Le Service Veille de ZATAZ explique pourquoi ils n’en parlent que maintenant : La base de données était en vente dans le darkweb depuis des mois sous des formes étonnantes : se faire rembourses les produits achetés ou acquérir des comptes clients susceptibles de rapporter de l’argent !

Comment est-ce possible ? Des cloud mal sécurisés. L’un d’eux avait été découvert en juillet 2022 par un chercheur. Des Elastic search… un peu trop souple qui permettait de télécharger des bases de données pleines d’informations. Kafkaïen, isn’t it !

Il faut noter que ce n’est pas la première fois que les données sensibles de cette entreprise sont malmenés. En octobre 2021, des données accessibles via un cloud mal sécurisé, lui aussi. Autant dire que les pirates n’avaient plus qu’à se servir !

L’attaque a touché les clients de plusieurs marques du groupe, dont JD, Size, Millets, Blacks, Scotts et MilletSport.

La société a décrit l’impact comme « limité » car l’incident n’aurait pas impliqué de données complètes de carte de paiement. Les quatre derniers chiffres des cartes de paiement à 16 chiffres des clients ont été exposés.

La société confirme qu’il n’y avait « aucune raison de croire que les mots de passe des comptes ont été consultés« .

Non, il y a – juste – le reste !

Des Européens sont impactés, et doivent être alertés (RGPD).

Pendant ce temps !

Des données privées appartenant à plus de 230 000 clients Chiliens de la marque Puma ont été trouvées sur un forum de pirates par des sociétés de cyber sécurité qui n’avaient pas vu que les même données sont en vente dans des espaces du Darkweb depuis plusieurs semaines. Un pirate commercialise les données dans un fichier de 84Mo qui appartiendrait au fabricant multinational de vêtements de sport.

Fichier offert, en janvier 2023, et revendu par d’autres voleurs 2.0 sur le web – capture : zataz.com

Contacté par le Service Veille ZATAZ, le pirate a fourni des échantillons qui semblent confirmer l’exfiltration de données. Il n’y avait pas de données appartenant à des ressortissants Européens ou Canadiens.

Vente datant de février 2022 – capture : zataz.com