Un e-commerçant piraté : 700.000 comptes client exposés ? (màj)

Un pirate affirme avoir réussi à pénétrer la base de données du site e-commerce Pearl.fr et y avoir mis la main sur les données liées à plus de 700 000 comptes client ainsi qu'à plus de 1,1 million de transactions bancaires.

Un pirate qui se fait appeler « l0lzSec » a diffusé mercredi quelques centaines de lignes d'informations qu'il affirme avoir extraites des bases de données du site e-commerce Pearl.fr. On y découvre le nom, l'adresse email ou postale et le mot de passe de plusieurs des clients supposés de l'enseigne.

L'auteur de cette attaque dit détenir les informations liées à 729 115 comptes clients. « Et devinez quoi ? Les mots de passe sont en clair », se gausse-t-il.

Il affirme également avoir mis la main sur les informations associées à plus de 1,1 million de transactions bancaires, et livre pour justifier ses dires environ 80 identifiants de cartes bancaires inoffensifs, puisque déjà placés sur liste noire pour fraude.

L'attaque aurait été conduite par injection SQL. l0lzSec livre d'ailleurs l'une des URL vulnérables, tout en ajoutant qu'il publiera bientôt l'intégralité des données dérobées par ses soins. Nos tentatives pour entrer en contact avec la société Pearl Diffusion sont pour l'instant restées vaines.

Mise à jour, 14h : : notre confrère Zataz a eu plus de succès dans ses démarches. Pearl Diffusion lui a expliqué jeudi avoir été victime d'une tentative de rançon.

L'auteur de l'attaque, se faisant cette fois appeler Nullsecurity Team, aurait approché la société pour réclamer 2 500 euros en échange de la non divulgation des informations qu'il affirmait détenir. Celle-ci dit avoir refusé, ce qui aurait entraîné la publication des extraits évoqués ici.

D'après Pearl, il y aurait bien eu intrusion, mais avec un vol de données limité à quelque 3 700 clients, certains récents et d'autres datant de 2003. « Le site a été fermé dans la nuit pour correction. Des courriels ont été envoyés aux clients concernés », a indiqué la société à Zataz. Elle dit enfin prévoir de déposer plainte.

Mise à jour, 19h30 : un lecteur de Clubic, client de Pearl Diffusion, nous a fait parvenir jeudi le courrier reproduit ci-dessous, envoyé par le service client de la société suite à sa demande de renseignements. La société y reproduit l'argumentation selon laquelle seule un petit nombre de compte a été concerné par cette intrusion. Selon ses dires, les clients qui n'ont pas été contactés directement n'ont donc pas à craindre pour leurs informations personnelles.

01CC000005337934-photo-mail-service-client-pearl-fr.jpg


Publication initiale : 2 août, 12h45.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

RGPD : 3 ans après, quel bilan tirer du dispositif ?
Fusion TF1-M6 : les deux groupes sont entrés en négociations exclusives !
Test Days Gone PC : la meilleure façon de profiter du jeu de zombies en monde ouvert
AMD : les spécifications des Radeon 6600 et 6000 XT ont fuité !
Revolut partenaire d’Elliptic pour proposer le retrait et le transfert de Bitcoin (BTC)
Call of Duty: Warzone : plus de 500 000 joueurs ont été bannis depuis le lancement du jeu
Google I/O 2021 : qu'attendre de la conférence de ce mardi 18 mai ?
Poco X3 Pro : chute de prix impressionnante sur l'excellent smartphone Xiaomi
Twitch annonce une baisse mondiale des prix sur les abonnements aux chaînes
Amazon attaque en justice les SMS d'arnaques transmis en son nom
Haut de page