Un pirate offre un million de données bancaires pour vanter sa boutique !

Un pirate informatique diffuse gratuitement, pour la promotion de son black market, une liste d’un million de cartes bancaires avec noms, adresses et mails des propriétaires légitimes des données volées.

Les pirates informatiques, comme je peux vous le démontrer très souvent, sont de plus en plus professionnels dans ce que j’ai baptisé, voilà plusieurs années, le marketing de la malveillance.

Ici, je ne vous parle pas de ces pirates utilisateurs de ransomwares, de leurs multiples chantages (prise d’otage de fichiers et machines ; de blocage de serveurs à coups de DDoS ; de menace de diffusion de données volées ; de revente dans des espaces d’enchères créés pour l’occasion ; de pirate qui se volent entre eux pour soutirer de l’argent aux entreprises infiltrées, etc.).

Dans le cas du jour, accrochez-vous bien, j’ai découvert la mise à disposition de données bancaires. J’ai pu constater les 16 chiffres des CB, les dates de validités, le CVV (le code inscrit derrière la carte bancaire), ainsi que l’adresse postale, l’adresse électronique, l’identité du propriétaire de la carte bancaire.

Dans certains cas le téléphone ou encore l’adresse IP sont proposés.

Un extrait de la base de données de 1.000.000 de CB piratées. Ici, des exemples canadiens.

Le voleur est TRES connu dans le milieu des fraudeurs de cartes bancaires. Dans ce million de CB offertes, plusieurs dizaines de pays dont le Maroc, l’Australie, les Etats-Unis d’Amérique, l’Italie, la Turquie, mais aussi la France ou encore le Canada.

Pour l’hexagone, j’ai pu repérer plus de 40.000 .fr ; plus de 40.000 données bancaires pour le Canada.

Quel intérêt ?

Les pirates, vous le savez déjà, ne sont pas connus pour faire de cadeaux si ces derniers ne sont pas dans leur intérêt. Dans le cas de ma découverte, il s’agit d’un échantillon gratuit ayant pour mission de vanter la boutique (black market) de vente de cartes bancaires, de numéro de sécurité sociale (USA, Canada, …) ouverte par le pirate.

La boutique pirate commercialise plus de 2,6 millions de CB piratées. Ici, plus de 40.000 cartes françaises.

Les informations qu’il offre ont été collectées entre 2018 et 2019. Il ne dit pas où, ni comment.

Des cartes bancaires qui s’annoncent être valides entre 2021 à 2027.

La boutique du pirate propose plus de 2,6 millions de cartes bancaires. Elles sont vendues aux alentours de 6 dollars US pièce (5 euros).

Du contenu 0Day, jamais exploité par le moindre malveillant.

Au moment de ma découverte : 46,325 CB françaises. 44,293 CB canadiennes ; 1,322 belges ; 47 luxembourgeoises …

Le Service Veille de ZATAZ a pu retrouver deux adhérents dans cette immense échantillon de données piratées.

Tous les pays sont concernés. Ici, le Luxembourg.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Diffusion pirate de plus de 210 000 données de Français

  2. jurassien1 Reply

    Bonsoir,

    A propos des cartes bancaires piratées, si vous avez les noms et numéros et adresses, pourquoi ne pas prévenir ces personnes afin qu’elles prennent toutes dispositions nécessaires auprès de leur organisme bancaire pour éviter un pillage de leur compte bancaire ou l’utilisation frauduleuse de la carte pour des achats?
    Merci. Cordialement.

    • Damien Bancal Reply

      Bonjour,
      Cet article est là pour cela, ainsi que le protocole ZATAZ.
      Les banques s’en chargeront. Depuis 30 ans que j’alerte, très peu de particuliers répondent ou se sentent concernés. Il faut dire aussi que recevoir un courriel d’alerte d’un « inconnu » met dans l’esprits de la plupart des gens la possibilité d’un phishing 🙂 On m’a aussi demandé un outil dans lequel il suffirait de rentrer son nom. L’automatisation de ce genre de chose a des limites (RGPD, ethique …) et je ne souhaite pas que ce genre d’outil soit utilisé à mauvais dessin. Bien cordialement

  3. DAIFFI Reply

    Samedi dernier j’ai justement reçu un sms de ma banque suivi d’un appel d’un conseiller. Il avait absolument tout, numéro complet de ma CB, adresse postale, identité, portable et adresse mail ! Il m’a embobiné sur une pseudo histoire d’utilisation frauduleuse de ma CB et a ensuite tenté 3 fois de prélever 1.600 € ! le bot de la banque a tout bloqué mais obligé de faire opposition par la suite et gros gros moment de stress… Tout était « vrai » et « crédible » heureusement, plus de peur qu’autre chose, mais tout de même ! Le pire c’est que je suis hyper prudent sur le net et je n’achète en ligne que sur Amazon !

    • Damien Bancal Reply

      Bonjour,
      Les pirates usent de techniques qui ont pour mission de passer outre les nouvelles sécurités comme la 2FA/Double authentification. Explication et vidéo ici : https://www.zataz.com/pirater-3d-secure-2fa/
      N’hésitez pas à nous envoyer un mail, nous vous offrons un Service Veille ZATAZ SnG pour voir si nous pouvons retrouver la source de cette fuite vous concernant.
      Bien cordialement

      • DAIFFI Reply

        Bonjour,
        Je veux bien si cela est offert mais par contre je n’arrive pas à trouver votre adresse mail sur ce site.
        Peut-être pouvez-vous me répondre directement par mon mail qui me permet de vous répondre sur cette reply box ?
        cordialement,

        • Damien Bancal Reply

          Bonjour Julien,
          Suivez l’enveloppe, en haut du site 🙂
          Cordialement

    • Florian Reply

      Dans le même cas que toi DAIFFI ! sauf que moi j’ai été débité 🙁 cela m’aiderait de savoir si je fais partie de cette liste svp

  4. Ahmed Reply

    Bonjour,

    Merci pour cet article très utile.

    Etant au Maroc et utilisant tout le temps ma CB pour mes achats en ligne, j’aimerais savoir s’il est possible de vérifier si ma CB figure dans cette fuite surtout que celle-ci permet d’effectuer des achats sans demander un code d’authentification?

    Merci d’avance pour votre réponse.

  5. Flochocinco Reply

    Bonjour,
    Ayant été victime d’une fraude a la carte bancaire le 14 juillet de cette année, puis je vous contacter en privé pour savoir si ma carte en fait parti svp? Je l’ai bloqué puis rendu à la banque mais cela m’aiderait pour le dossier de plainte que j’ai déposé.

  6. Raphael Reply

    Tout pareil qu’Ahmed, je serais intéressé de savoir si la mienne apparaît.
    Normalement, je ne l’enregistre JAMAIS sur les sites d’e-commerce.
    De même, ma banque pratique le 3D-secure, mais un site comme cdiscount n’y pas toujours appel…

    Cordialement
    Raphael

  7. Edouard Reply

    Vous avez proposer que l’on mette son nom pour savoir si ses cartes sont piratées.

  8. Edouard Roussac Reply

    Nom
    Edouard Roussac
    Merci

  9. Geffray Reply

    Bonjour,
    Je viens d’entendre votre interview sur France Info par rapport au piratage de cartes bancaires…
    Vous est-il possible de me dire si la mienne ainsi que celle de ma compagne font partie de la liste svp ?
    Nicolas Geffray
    Linda Jolivel

    D’avance merci !!!!
    Cdt,
    Nicolas

  10. bourbiaux Reply

    Bonjour,
    Suite à votre intervention sur France Inter pouvez-vous vérifier si je figure dans la liste?
    Merci par avance
    Xavier BOURBIAUX

  11. Nick Reply

    Bonjour,
    Merci pour ce très bon article.
    Comment savoir alors si on est concerné ? Vous pouvez nous donner des infos ?

  12. John Reply

    Bonjour,
    Comment peut-on savoir si nos informations figurent dans ce fichier ?
    Puis-je vous communiquer mon nom par ex ?

  13. Rov's Reply

    Bonjour,

    Faute de pouvoir proposer un outil du style « haveibeenpwned » pour les raison que vous avez citer(RGPD, ethique …) pouvez vous fournir les informations qui permettrais de trouver le dump de manière sécurisé?

    Merci d’avance.

    • Damien Bancal Reply

      Bonjour,
      Comme indiqué, il suffisait de m’envoyer un courriel.
      Maintenant, et dans le cas où vous étiez dans cette liste, votre banque a du vous alerter.
      Cordialement

  14. Damien g. Reply

    Bonjour, j’ai vu le reportage ce soir au 20h de TF1. J’ai dit à ma femme mais elle est veille cette news et hop je vous voit et je percute que j’ai vu la news quelques jours avant que votre site. Au passage le setup de travail a l’air dingue, vous avez pas un listing de conf et outils utilisé, notamment sur le grand écran de droite ?
    Je me lance dans la cyber veille pour mon employeur à la rentrée et je suis entrain de me monter un homeLab.

    • Damien Bancal Reply

      Bonjour Damien,
      Oui, la découverte de ZATAZ a fait pas mal de presse 🙂
      Concernant listing de conf/outils, non je n’ai pas.
      Je présente, chaque dimanche, des outils OSINT, mais pour être très honnête, le plus efficace dans ce secteur reste le cerveau humain.
      Cordialement

  15. Gringo Reply

    Bonjour,
    Je tombe sur cette info. Avons nous en tant que particulier une solution pour savoir si nos cartes CB ont été piratés svp ? Merci

    • Damien Bancal Reply

      Bonjour,
      Comme indiqué, il suffisait de m’envoyer un courriel.
      Maintenant, et dans le cas où vous étiez dans cette liste, votre banque a du vous alerter.
      Cordialement

  16. Guy Don Reply

    Bonjour,

    Il y a un problème dans votre article :

    « Les informations qu’il offre ont été collectées entre 2018 et 2019. »

    « Des cartes bancaires qui s’annoncent être valides entre 2021 à 2027. »

    Si les infos des cartes ont étés récupérés entre 2018 et 2019, mais que celles ci sont valides entre 2021 et 2027, alors elles n’ont jamais été en possession des clients des banques, et elles n’ont jamais étés utilisées sur aucun site. Je ne comprends pas qui peut obtenir est utiliser en 2019 une carte dont la validé démarre en 2021…

    Par ailleurs il faudrait tenter de faire une achat pour vérifier que les numéros sont bien réels. Comment savoir si le hacker n’a pas simplement généré des numéros de carte associés à des nom téléphones et mails « réel » ?

    • Damien Bancal Reply

      Bonjour Guy,
      Tout à fait, question pertinente que je me suis aussi posé. Mais il s’avère que certaines (j’ai contacté une centaine de victimes) ont été récupérées, par exemple, via phishing.
      Concernant les tests, vous vous doutez bien qu’il en n’est pas question ! Plusieurs banques et le GIA CB m’ont contacté, ils sen chargent du reste 🙂
      Les « adhérents » de la boutique du pirate + les contenus (mails, adresses postales, …) confirment, malheureusement, la véracité des contenus. Il a clairement agrégé de multiples sources.
      Cordialement

  17. Un Reply

    C’est quoi le site c’est pour un ami.

  18. Pingback: ZATAZ » Le Service Veille ZATAZ permet de détecter et prévenir les violations de données

  19. Pingback: ZATAZ » Joyeux Noël : un pirate vend 67 millions de français !

Répondre à Geffray Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.