Western Digital détaille les informations dérobées pendant sa cyberattaque
Le 09 mai 2023 à 05h35
1 min
Internet
Internet
La semaine dernière, Western Digital reconnaissait avoir été victime d’une cyberattaque. « Une tierce partie non autorisée » avait alors obtenu « certaines données de ses systèmes », sans plus de précisions.
Le fabricant donne de plus amples informations suite à une enquête interne :
« Un tiers non autorisé a obtenu une copie de la base de données Western Digital contenant certaines informations à caractères personnel liées aux clients de notre boutique en ligne. Ces informations incluaient les noms de clients, les adresses d’expédition et de facturation, les adresses emails et les numéros de téléphone.
Par mesure de sécurité, la base de données cernée stockait les mots de passe et les numéros partiels de carte de crédit sous forme hachée et dans un format chiffré (avec salage) ».
Une communication a été faite vers les clients concernés, ce que plusieurs d’entre eux nous ont confirmé. Comme toujours en pareille situation, le risque de phishing est important : un pirate pourrait utiliser ces informations afin d’essayer de se faire passer pour Western Digital.
Le 09 mai 2023 à 05h35
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/05/2023 à 07h20
Si c’est haché et qu’il y a salage c’est du hachage, pas du chiffrement. La phrase d’origine ne dit pas ça : “In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers.”
Ce qui signifie que ces champs de la bdd contiennent des hashes salés et qu’en plus ils sont chiffrés au repos. Ce n’est pas le chiffrement qui est salé.
Ce ne sont d’ailleurs que les mdp qui sont hachés (puis chiffrés au repos), les numéros de CB quant à eux sont seulement chiffrés au repos.
Il est regrettable que l’entreprise ne communique pas sur l’algorithme de hachage utilisé, car s’il est inadapté et que le mdp est faible alors c’est quasi comme s’il n’y avait pas de hachage du tout. Ca donnerait aussi une idée du fait que WD respecte les bonnes pratiques et l’état de l’art ou non.
Le 09/05/2023 à 16h11
Que de termes pudiques pour annoncer que WD conserve les n° CB de ses clients … Au 21ième siècle ?
Le 11/05/2023 à 05h59
Je dirais que beaucoup de sites le font, a voir après s’ils sont sérieux derrière ou pas.
Le 09/05/2023 à 16h44
Je confirme le mail également.