Fuite de données personnelles chez Norauto : 78 000 clients concernés
Le 04 décembre à 08h48
2 min
Sécurité
Sécurité
Norauto confirme à l’AFP avoir été la cible d’une cyberattaque : « Les investigations menées par nos équipes mobilisées sur le sujet indiquent que des données à caractère personnel spécifiquement liées à notre service location ont été ciblées ». 78 000 clients sont concernés.
Selon les cas, les données récupérées par les pirates contiennent les nom, prénom, adresses email et postale, numéro de téléphone, numéro de carte de fidélité et numéro de pièce d'identité. Pas de données bancaires donc.
L’enseigne affirme avoir « immédiatement mis en place des mesures pour stopper l’attaque et renforcer la sécurité de (ses) systèmes ». La CNIL a été informée de l’incident, comme la loi l’oblige. Norauto ne donne pas plus de détails.
Le 27 novembre, sur un forum bien connu des pirates, l’un d'eux revendiquait avoir récupéré les données de 78 000 clients via « un panneau d’administration pour gérer le paiement ». Il vendait d’ailleurs l’accès à cette interface pour 200 euros, contre 50 euros les données. Les informations personnelles ne pèsent pas lourd.
Depuis la rentrée, les annonces se multiplient : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance…
Le 04 décembre à 08h48
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousHier à 09h22
Hier à 09h29
On a juste mis 15 ans pour s'apercevoir que Google avait raison.
Hier à 09h56
Hier à 09h32
Et 200€ pour l’accès à l’interface d’admin est tout aussi ridicule ! Surtout que ça pourrait permettre de rebondir dans le SI et faire bien plus de dégâts !
Hier à 11h35
Hier à 12h20
Hier à 09h32
Hier à 09h37
Hier à 09h49
Hier à 09h54
Hier à 09h56
Hier à 11h15
J'ai l'impression que personne ne vérifie jamais que les documents sont authentiques. Et, lorsqu'ils sont authentiques, s'ils appartiennent vraiment à l'individu qui les fournit.
Ca m'a l'air de servir d'assurance légale pour se dédouaner en cas de problème: "ah bah, j'avais demandé une copie de la CI. Je pouvais pas savoir qu'elle était fausse".
Hier à 11h24
Les numéros sur la CI ne sont pas vérifiés ou vérifiables par les opérateurs téléphonique ? exemple qui me vient de suite.
Modifié le 04/12/2024 à 11h37
Et on peut facilement générer un code MRZ valide.
IDFRA1234567897<<<<<<<<<<<<<<<0012212M4812247FRA<<<<<<<<<<<6NEXT<<ELTICAIL<<<<<<<<<<<<<<<<
Hier à 12h22
Hier à 13h49
La procédure a duré des années. Encore aujourd'hui ses comptes bancaires sont sous surveillance par sa banque: obligation d'aller en personne dans un agence lorsqu'il veut faire des opérations spéciales (mandat SEPA...).
C'est le groooos problème avec l'usurpation d'identité: mm si on arrête le coupable, ton identité reste comme étant "potentiellement usurpée" pendant des années.
Hier à 14h33
Hier à 11h53
Hier à 14h42
Voire à en générer depuis un prompt.
Il me parait improbable que je sois le seul a avoir pensé qu'on puisse entrainer une IA générative sur la création de vrais/faux documents officiels.
Hier à 15h18
Pour la CI, il y a République Française mais il faut une application mobile pour le générer apparemment.
Hier à 15h38
Maintenant faut que les tiers acceptent de recevoir un QR Code a la place de la sacro-sainte "photocopie de votre CI".
Hier à 16h38
Effectivement, ça a l'air bien, sur le papier.
Modifié le 04/12/2024 à 14h57
Hier à 21h22
Je reste persuadé (jusqu'à une preuve minimale expliquée) que ces différentes fuite ont un point commun.
Un outil de prestataire, une lib, social enginering du chat de la secrétaire, etc.
Et comme la cause commune n'est pas divulguée, tous ceux qui sont des cibles potentielles ne mettent pas en place de mesures (patch par ex.) car ne se sentent pas concernés.
Bon, je fais un peu complotiste, mais si vous avez des infos contradictoires, je suis tout ouïs.