Amazon, PSN, Xbox Live, etc. : 13 000 identifiants et numéros de CB dérobés ?
Et joyeuses fêtes !
Le 29 décembre 2014 à 10h57
3 min
Internet
Internet
Via Twitter, un groupe de pirates a publié un fichier qui contiendrait 13 000 identifiants de comptes utilisateurs, parfois avec des numéros de carte bleue et sa date d'expiration. On y retrouverait des services comme Amazon, Dell, PlayStation Network et Xbox Live pour ne citer qu'eux.
Identifiants, mots de passe et numéros de carte bancaire
Les lendemains de fêtes sont parfois difficiles pour certains, notamment du côté du PlayStation Network ainsi que du Xbox Live qui ont fait les frais d'une attaque DDoS. Mais cela ne semble pas être suffisant et un groupe de pirates aurait publié un fichier, effacé depuis, comprenant des informations sur pas moins de 13 000 comptes utilisateurs, ainsi qu'un lien pour télécharger le film The Interview de Sony.
Il serait question de l'identifiant et du mot de passe associé, accompagné parfois d'un numéro de carte bancaire et de sa date d'expiration. Pourquoi cette opération ? « Pour le lulz » selon le compte Twitter du groupe de pirates... On y retrouverait des données provenant de services divers et variés comme VPNCyberGhost, UbiSoft, VCC, Brazzers, UFC TV, PSN, XBL Gamers, Twitch TV, Amazon, Hulu Plus, Dell, Walmart ainsi qu'Electronic Arts. Nos confrères de DailyDot ont publié une liste précise des sites qui seraient concernés.
D'où viennent ces données ?
Si, de part son nom (@AnonymousGlobo), le groupe de pirate revendique son appartenance au mouvement Anonymous, le compte @LatestAnonNews précise pour sa part qu'il n'a « aucune affiliation » avec ce dernier. Mais ce n'est pas la seule réaction suite à ce piratage puisque Microsoft serait intervenue chez nos confrères de CNBC et du Telegraph : « nous n'avons aucune preuve d'une faille de la sécurité sur les services Xbox Live ». La société de Redmond ajoutant au passage qu'elle « prend très au sérieux la sécurité et les données de ses clients ». Du côté de CyberGhost, son PDG Robert Knapp serait intervenu chez nos confrères de TechCrunch pour préciser que le groupe de pirates n'a « pas d'identifiants de clients de son service, mais des clés d'activation gratuites ». Il précise au passage qu'il n'y aurait pas de faille de sécurité pour les utilisateurs de CyberGhost.
Mais la fuite les données ne provient pas obligatoirement des sites concernés puisqu'elles peuvent avoir été récupérées sur les machines des utilisateurs. Selon nos confrères du Daily Dot qui ont interrogé Chris Davis, un spécialiste en cybersécurité, les pirates auraient pu utiliser un botnet pour mener à bien leurs opérations (voir notre interview d'Éric Freyssinet pour plus de détails).
Quoi qu'il en soit, on se retrouve plus ou moins dans la même situation que lorsque des pirates avaient annoncé avoir dérobé pas moins de 1,2 milliard de mots de passe. Dans tous les cas, il est recommandé de changer ses mots de passe sur les sites concernés, ne serait-ce que par prévention. Concernant les paiements par cartes bancaires, il faudra surveiller son compte afin de détecter tout mouvement suspect... une règle qui s'applique finalement tout le temps et pas uniquement lorsqu'un groupe de pirate publie des données sensibles.
Amazon, PSN, Xbox Live, etc. : 13 000 identifiants et numéros de CB dérobés ?
-
Identifiants, mots de passe et numéros de carte bancaire
-
D'où viennent ces données ?
Commentaires (70)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/12/2014 à 11h04
Bien envie de mettre la main sur cette liste rien que pour brazzers " />
Ca pourrait être utile si tu y trouves les identifiants de ton patron, ca sent l’augmentation de salaire annuelle " />
" />
Le 29/12/2014 à 11h07
Moi j’aimerai bien la liste, juste pour savoir si je suis impacté …
Changer ses MdP tout les 36 du mois, ça devient chiant, même si je sais qu’en théorie, il faudrait les changer régulièrement.
Le 29/12/2014 à 13h45
prochaine loi amon:
prévenir chaque client personnellement concerné en cas de piratage ou de fuites de données personnelles.
Et si on l’a dans la gueule, on dépose plainte en collectif?
jveux pas dire, mais ils nous gavent avec des procédures de sécurité qu’on respecte, si ils ne jouent plus le jeux on doit laisser passer ça?
Le 29/12/2014 à 13h45
Le 29/12/2014 à 13h52
Le 29/12/2014 à 13h53
effectivement c’est limitatif :$
Le 29/12/2014 à 13h58
Avec ce système, le marchand peut-il procéder à un remboursement lorsqu’un article est rendu dans le cadre d’un retour par exemple ?
Le 29/12/2014 à 13h59
E-Carte Bleu. C’est inclus dans les cléo de base et plus. A voir comment ça marche après car moi même je ne sais pas.
Le 29/12/2014 à 14h01
Le 29/12/2014 à 14h09
https://ghostbin.com/paste/avtnw/raw removed " />
Le 29/12/2014 à 14h26
Le 29/12/2014 à 14h58
D’après ce site, cette fameuse liste ne serait que des vieux leaks.
A prendre avec des pincettes…
Le 29/12/2014 à 15h30
Le 29/12/2014 à 15h35
Bonne question… Je dirais que dans l’absolu il faudra passer par un bon d’achat ou alors leur transmettre tes vraies coordonnées bancaires pour le remboursement (ou un compte paypal s’ils le font).
A voir avec ta banque je dirais.
Le 29/12/2014 à 15h37
Amazon mémorise lenuméro de CB d’office. C’est à l’utilisateur de retourner sur son compte pour le supprimer.
La FNAC par contre demande clairement s’ils peuvent où non le conserver pour les prochaines fois.
Le 29/12/2014 à 16h18
Le 29/12/2014 à 17h05
Le 29/12/2014 à 18h12
Chez Fortuneo (système Virtualis), les remboursement sont bien crédités sur ton compte quand tu paies via une CB virtuelle (testé cette semaine avec Amazon).
Le 29/12/2014 à 11h10
C’est en majorité de vieilles données qui circulent sur le web, depuis des années pour certaines.
Le 29/12/2014 à 11h27
cela devrait etre interdit de stocker les numeros de cb. le client devrait les rentrer a chaques fois.
Le 29/12/2014 à 11h33
J’ai tout changé y’a même pas une semaine " />
Le 29/12/2014 à 11h33
Merci la e-cb LBP qui me génère un no de cb unique à la demande, valable pour une transaction et pour un montant précis. Est-ce que d’autres banques ont un service similaire ou est-ce toujours la cb “spécial internet” en vigueur ?
Le 29/12/2014 à 11h42
Osef vais pas toujours changer mon mot de passe pour chaque petite couille…
En plus, meme si on paye des trucs avec ta cb, tu peux toujours t’opposer, porter plainte sur la transaction " />
Le 29/12/2014 à 11h45
Non plusieurs banque le propose.
Crédit Mutuel le fait, et un de mes potes à la Société Générale m’a déjà dit s’en être servi.
Par contre c’est pas forcément activé par défaut.
Le 29/12/2014 à 11h46
Oui beaucoup le font (Banque Pop, LCL, …) c’est indispensable je pense.
Le 29/12/2014 à 11h47
LCL le fait aussi mais a priori cela ne fonctionne pas tout le temps sur les sites marchand. Certains ne l’accepte pas.
Le 29/12/2014 à 12h06
Chez CA c est du 2FA avec code pin par Texto.
Pas sur que ce soit super efficace en cas de vol de sac a main :)
Le 29/12/2014 à 12h09
Mouai. 13000 comptes utilisateurs alors que les serveurs de la NSA en comptent, combien ?
Le 29/12/2014 à 12h12
Pas de traces de mon compte sur la liste sur laquelle j’avais pu mettre la main hier… et comme d’hab’, la qualité des mdp était vraiment déplorable pour la très grande majorité " />
Le 29/12/2014 à 12h20
13000, c’est juste ridicule, l’info circule partout alors qu’il y’a surement au moins autant de numéro de carte dérobés tous les mois.
Le 29/12/2014 à 12h21
les Anonymous " />
vu que le principe est qu’il n’y a pas de chef, ils peuvent jamais prouver que c’est eux ou pas " />
bon cherchons la liste
Le 29/12/2014 à 12h24
Ça pourrait être une bête liste obtenue en “brute forcant” du MdP pourrave ? (pas vu la liste en question)
Le 29/12/2014 à 12h38
Tu as la même réponse si ton compte fait partie des 13000 ? " />
Le 29/12/2014 à 12h42
Non " />
Mais c’est petit de s’attaquer aux plus faibles " />
Le 30/12/2014 à 09h35
Le 30/12/2014 à 10h25
Il y a des e-carte bleue dans une palanquée de banques… Le numéro généré est effectivement “mono-transaction”, mais le contrôle de l’exactitude du montant n’est pas absolu. C’est d’ailleurs à mon avis inutile, vu que le “one shot” auto-carbonise le numéro aussitôt après l’enregistrement de la transaction, ce qui pour moi a toujours duré moins 5 secondes. Au passage, j’arrondis le montant “demandé” toujours à l’euro supérieur…
Le 30/12/2014 à 15h11
Le 30/12/2014 à 16h12
Bonsoir
Je suis inscrit sur plus de 53 sites ou services en ligne nécessitant un login et un mot de passe.
Je ne connais de tête qu’un seul de ceux la
Ils sont tous (les logins et les mots de passe) différents et aux format très compliqué ex : Huv27qDE#14;t
Comment tous les retenir ?
Juste en avoir un seul maître qu’il ne faut pas perdre ou laisser traîner et le reste, c’est dashlane qui s’en occupe :
https://www.dashlane.com/fr/
un autre : https://www.passwordbox.com/
Extra… Je reçois des alertes en cas de danger et le changement de mot de passe se fait régulièrement, mais peu importe car je ne les connais pas et je n’ai pas besoin de les connaitre
Une excellente solution (on peut désigner un ami/famille de confiance pour un accès en cas de pépin)
Je l’utilise depuis 18 mois et j’en suis très satisfait… bien évidement pour écrire ce message j’ai dû me connecter sur nextinpact avec un login et un mot de passe que j’ignore ;)
Le 31/12/2014 à 08h01
Si si tu peux payer en plusieurs fois. En tous cas a la SG, tu peux prolonger la vie du numéro de e cb de plusieurs mois pour justement les paiements en x fois
Le 29/12/2014 à 18h39
Ca commence à bien faire de devoir changer ses mots de passe toutes les semaines parce que certains sont pas foutus de sécuriser correctement leurs bases de données…
J’ai pas vraiment regardé mais ça serait intéressant de voir s’il est pas possible de se retourner contre ceux qui ont failli à leur devoir de sécurisation des données en cas d’utilisation frauduleuse… Peut être porteraient ils un peu plus d’attention là dessus plutôt qu’a vouloir se faire du fric.
Le 29/12/2014 à 19h01
le groupe de pirate revendique son appartenance au mouvement Anonymous, le compte @LatestAnonNews précise pour sa part qu’il n’a « aucune affiliation » avec ce dernier.
Moi je dirais que c’est le compte @LatestAnonNews qui n’a aucun rapport avec Anonymous, de par son principe.
Le 29/12/2014 à 19h31
Le 29/12/2014 à 20h24
Le 29/12/2014 à 20h50
Salut à tous,
Ce serait sympa si quelqu’un qui a trouvé la liste pouvait me dire si j’ai été piraté (PSN et XBL).
Mon n° de CB c’est 4976 1548 2559 3897 et le n° derrière c’est 198. Je stresse trop même si ma carte expire en février 2015, ça reste désagréable de se le faire tirer.
Merci de tout cœur.
Le 29/12/2014 à 20h59
ouais donc c est de l’info à la Voica/Poblic/Clooser…
Le 29/12/2014 à 21h19
En essayant de trouver la liste sur le net, beaucoup disent que ce sont de vieilles listes de comptes déjà publiées avec certaines datant de 3 ans.
Ca sent plus le truc pour se faire mousser qu’autre chose…
Je ne donnerai pas de lien vers les résultats de mes recherches, mais la méthode utilisée c’est de retrouver le message sur twitter dans lequel il y a le lien ghostbin. Puis Google retourne des résultats en cache pour cette URL (le contenu ayant été supprimé entre temps). Je ne sais pas si c’est réellement ça, mais les messages en parlant semblaient récents…
Le 29/12/2014 à 23h03
Le 29/12/2014 à 23h39
Le 29/12/2014 à 23h46
Le 29/12/2014 à 23h48
Manque le nom/prénom affichés sur la carte " />
Le 29/12/2014 à 23h57
Tu peux mémoriser le cryptogramme puis l’effacer de la CB par grattage.
Le 30/12/2014 à 01h01
J’espère pour lui que les infos sont fausses :-#
Le 30/12/2014 à 07h42
Le 30/12/2014 à 08h43
e-carte électronique > un numéro valable une seule fois puis n’existe plus, donc à renouveler à chaque nouvel achat
Le 30/12/2014 à 09h17
Le 29/12/2014 à 12h44
Oui, ça y ressemblait, et de mémoire il me semble que tous les mdp étaient uniquement en alphanumérique.
Le 29/12/2014 à 13h00
LCL, t’es sûr ?
C’est quoi le nom de ce service stp ?
Le 29/12/2014 à 13h09
Ça devient tellement régulier que je ne connais plus mes mots de passe. Les services sensibles (qui gardent le numéro de CB etc. donc Amazon, Paypal, Google, Microsoft…) -> Keepass et je génère régulièrement des nouveaux mdp.
Je pense que c’est pour le moment, le moyen le plus sage pour éviter d’être au milieu d’une liste de ce type avec un trio login pass numéro de CB.
Dire que pendant 10 ans je le suis contenté de mon mot de passe à 22 chiffres. J’en permutais juste quelques uns selon le service, ça me permettait de les connaître par cœur….
Le 29/12/2014 à 13h12
Ça me surprend assez qu’ils aient pu avoir les mdp et id du Xbox Live.
Le 29/12/2014 à 13h12
Ça me surprend assez qu’ils aient pu avoir les mdp et id du Xbox Live.
Le 29/12/2014 à 13h14
e-Carte Bleue, tout simplement (voir ici je ne suis pas client LCL donc je sais pas ce que ça donne dans les faits)
Le 29/12/2014 à 13h23
et sinon la liste elle est où ? " /> " />
Le 29/12/2014 à 13h23
Le 29/12/2014 à 13h30
vivement la généralisation et la régularisation (parce que c’est interdit en france à cause des lois militaires si mes souvenirs sont bons) du double facteur (U2F Fido : ici), on aura beaucoup moins de soucis et les seules attaques possibles deviendront celles avec des man in the middle…
Après ce genre de liste je m’en méfie comme la peste c’est souvent des veilles listes qui ressortent dans le but de faire un phishing ou pour faire du e-pen pour montrer que waouh ils sont trop forts…
Le 29/12/2014 à 13h34
Le 29/12/2014 à 13h36
déjà, si certains de ces sites pouvaient permettre la double authentification (même avec un token logiciel sur le PC ou le smartphone, voir avec un matos type yubikey s’il veulent du plus sécurisé) ça permettrait de rendre ces listes complètement inutiles…
Le 29/12/2014 à 13h37
Le 29/12/2014 à 13h39
oui oui le concept je connaissais déjà (depuis le temps quand même " />)
c’était comment le LCL le fait (si des fois c’était différent des autres…), c’est tout " />
Le 29/12/2014 à 13h40
Après coup, j’ai vu ça, merci d’avoir confirmé :)
Mais de mon expérience passée, e-carte bleue n’est effectivement pas utilisable partout, là où le numéro généré par Virtualis passe “incognito”.
Du coup, autant s’ouvrir un compte gratuit chez Fortuneo, groupe Arkea, qui offre aussi le service Virtualis.
Le 29/12/2014 à 13h43
Au Crédit Mutuel (et CIC d’après l’image qui suit) il faut demander d’activer le service, il t’envoie un carte de clés et lorsque tu craques pendant les soldes steam, tu vas sur le site de la banque, tu donnes la bonne clé, tu indiques la somme, tu reçois un SMS avec un code, tu rentres le code et il te génère un numero de CB + date d’expiration à usage unique …
Donc c’est bien pour ne jamais donné ses vraies informations sur un site d’achat. Par contre c’est dommage de ne pas pouvoir complétement interdire l’utilisation de mes vraies info sur internet au près de ma banque " />
En effet, si on me vole ma CB … Bah il s’achète directement ce qu’il veut via mes vraies info + cryptogramme … rien n’oblige le voleur à devoir me voler mon portable et surtout ma carte de clé puisque tout ça est malheureusement optionnel …
Les nouvelles génération de CB vont avoir un cryptogramme dynamique qui changera régulièrement … C’est un plus pour l’usage d’internet mais ça ne résout pas le problème de la perte/vole de CB physiquement..