Un e-commerçant piraté : 700.000 comptes client exposés ? (màj)

01 juin 2018 à 15h36
0
Un pirate affirme avoir réussi à pénétrer la base de données du site e-commerce Pearl.fr et y avoir mis la main sur les données liées à plus de 700 000 comptes client ainsi qu'à plus de 1,1 million de transactions bancaires.

Un pirate qui se fait appeler « l0lzSec » a diffusé mercredi quelques centaines de lignes d'informations qu'il affirme avoir extraites des bases de données du site e-commerce Pearl.fr. On y découvre le nom, l'adresse email ou postale et le mot de passe de plusieurs des clients supposés de l'enseigne.

L'auteur de cette attaque dit détenir les informations liées à 729 115 comptes clients. « Et devinez quoi ? Les mots de passe sont en clair », se gausse-t-il.

Il affirme également avoir mis la main sur les informations associées à plus de 1,1 million de transactions bancaires, et livre pour justifier ses dires environ 80 identifiants de cartes bancaires inoffensifs, puisque déjà placés sur liste noire pour fraude.

L'attaque aurait été conduite par injection SQL. l0lzSec livre d'ailleurs l'une des URL vulnérables, tout en ajoutant qu'il publiera bientôt l'intégralité des données dérobées par ses soins. Nos tentatives pour entrer en contact avec la société Pearl Diffusion sont pour l'instant restées vaines.

Mise à jour, 14h : : notre confrère Zataz a eu plus de succès dans ses démarches. Pearl Diffusion lui a expliqué jeudi avoir été victime d'une tentative de rançon.

L'auteur de l'attaque, se faisant cette fois appeler Nullsecurity Team, aurait approché la société pour réclamer 2 500 euros en échange de la non divulgation des informations qu'il affirmait détenir. Celle-ci dit avoir refusé, ce qui aurait entraîné la publication des extraits évoqués ici.

D'après Pearl, il y aurait bien eu intrusion, mais avec un vol de données limité à quelque 3 700 clients, certains récents et d'autres datant de 2003. « Le site a été fermé dans la nuit pour correction. Des courriels ont été envoyés aux clients concernés », a indiqué la société à Zataz. Elle dit enfin prévoir de déposer plainte.

Mise à jour, 19h30 : un lecteur de Clubic, client de Pearl Diffusion, nous a fait parvenir jeudi le courrier reproduit ci-dessous, envoyé par le service client de la société suite à sa demande de renseignements. La société y reproduit l'argumentation selon laquelle seule un petit nombre de compte a été concerné par cette intrusion. Selon ses dires, les clients qui n'ont pas été contactés directement n'ont donc pas à craindre pour leurs informations personnelles.

01CC000005337934-photo-mail-service-client-pearl-fr.jpg


Publication initiale : 2 août, 12h45.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Navigateurs : Firefox gagne des parts de marché et conserve sa seconde place
Sony : le résultat d'exploitation plonge de 77,2%
L'environnement de bureau KDE passe en version 4.9
Archos dévoilera ses tablettes G10 le 22 août
L'Avicca propose 1 euro sur les forfaits mobiles pour financer la fibre
Sharp va livrer en août ses écrans à Apple
Opera 12.01 : stabilité et sécurité accrues
Amazon et son Cloud Player signent avec les Majors du disque
US : Nokia Maps affiche les offres Groupon sur ses cartes
TShirtOS : un concept de vêtements connectés au smartphone
Haut de page