Lepape.com piraté : noms, numéros de carte bancaire, dates d’expiration et cryptogrammes dans la nature
Oups !
Le 18 novembre 2020 à 15h16
3 min
Internet
Internet
Les données bancaires des clients ayant effectué des achats entre le 11 juin et le 14 novembre sur Lepape.com ont pu être « interceptées ». Le revendeur informe ses clients et recommande à ceux concernés de faire opposition au plus vite.
C’est via un email envoyé à ses clients que le revendeur annonce la mauvaise nouvelle : le « site de e-commerce www.lepape.com a fait l’objet d’une cyberattaque sophistiquée ». Aucun détail supplémentaire n’est par contre donné, que ce soit sur les moyens techniques utilisés et/ou l’identité des pirates.
Dans son message, le président et fondateur de la société affirme que ce serait le premier « incident de cybersécurité » en 20 ans. L’occasion de rappeler à tout le monde que la question n’est finalement pas de savoir si cela arrivera un jour, mais quand. Dans le cas présent, le pot aux roses a été découvert le 14 novembre et des correctifs ont été immédiatement appliqués.
Toutes les informations des cartes bancaires dans la nature
Néanmoins, certaines données relatives à des paiements réalisés depuis le 11 juin 2020 ont été « interceptées par les attaquants ». L’entreprise liste l’étendue des dégâts :
« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».
Le revendeur conseille aux clients concernés de contacter leur banque pour faire opposition dès que possible et, le cas échéant, « obtenir l’annulation des éventuels paiements frauduleux déjà engagés ». Il rappelle aussi que si des transactions frauduleuses ont été réalisées avant l’opposition, ils peuvent contacter le téléservice Perceval pour les signaler.
Nous avons contacté le service client, qui confirme la fuite de données et l’envoi de cet email. Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté… la précision de « données interceptées » prend donc tout son sens. Nous avons contacté le service communication du revendeur pour avoir de plus amples informations sur ce point, nous mettrons à jour cette actualité le cas échéant.
Une communication « feutrée », la CNIL a été notifiée
Hormis l’envoi d’un email aux clients, aucune communication n’est pour le moment faite sur les réseaux sociaux ni sur son site. Espérons que ce sera rapidement le cas, ne serait-ce que pour éviter que des clients pensent à un phishing ou bien pour informer ceux qui auraient changé d’adresse email entre temps.
La société présente enfin ses excuses à ses clients et précise que, bien évidemment, des mesures ont été prises pour que cela ne re reproduise pas. Lepape affirme enfin qu’une plainte a été déposée auprès du commissariat de Police et que la CNIL a été notifiée. Aucun geste commercial n’est pour le moment annoncé aux clients concernés.
Lepape.com piraté : noms, numéros de carte bancaire, dates d’expiration et cryptogrammes dans la nature
-
Toutes les informations des cartes bancaires dans la nature
-
Une communication « feutrée », la CNIL a été notifiée
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/11/2020 à 15h26
Surement que les paiements s’effectuaient sur un site “pirate” qui alimentait quand même le site du paiement avec les données des CB pour ne pas être découvert, j’ai déjà vu cela sur un Prestashop mais la boutique en question n’a pas, à ma connaissance, avertit ces clients !
Un moyen pour voir la supercherie, vérifier que tous les paiements ne viennent pas de la même adresse IP.
Le 18/11/2020 à 15h32
Plus probablement les paiements se faisaient normalement, mais un petit bout de javascript non prévu envoyait en prime les données bancaires vers un site tiers.
Le 18/11/2020 à 15h37
Lepape piraté, ça me fait penser à ça :
La boulette sacrée du Vatican ou quand le pape Francois “like” une photo d’une jeune femme dénudée sur son compte Instagram
Le 18/11/2020 à 16h26
Ca va ma commande chez eux date d’avant le 14 juin. J’ai eu une frayeur en lisant votre article.
Le 18/11/2020 à 16h35
“et le cryptogramme visuel”. Que la CNIL interdit de stocker….
Le 18/11/2020 à 16h45
OnePlus avait eu le même problème quand j’avais acheté mon 5T, les infos bancaires étaient interceptées par un petit bout de JS qui avait été placé sur leur serveur.
À l’époque je n’avais rien eu à faire : ma banque m’a appelé dès que l’info est sortie pour me dire que ma CB avait été compromise, qu’elle était bloquée et qu’ils avaient commandé la nouvelle.
Le 18/11/2020 à 16h49
@seboquoi Veinard. La mienne date du 3 novembre et j’ai dû faire opposition. Reste à voir s’il y des prélèvements frauduleux dans les tuyaux…
Le 18/11/2020 à 17h22
Les infos sont stockées en clair ? C’est pas très catholique comme méthode
Le 18/11/2020 à 17h41
« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».
J’aime beaucoup le (sic).
Le 18/11/2020 à 17h44
Le 18/11/2020 à 19h30
Et sinon un article sur les soucis technique de nextinpact depuis qq semaines c’est pour quand ? Ca commence à souler les 504⁄503 intempestives
Ou mieux, que les soucis soient résolus!
Le 19/11/2020 à 09h35
Moi J’ai rien observé de tel.
Ah si pardon, parfois l’envoi de commentaire donne un bandeau d’erreur rouge.
Le 18/11/2020 à 19h43
c’est de l’interception de données
Le 18/11/2020 à 19h50
Et dans ce cas là d’opposition c’est toujours le client qui paye sa nouvelle carte bancaire alors que la faute repose sur le marchand. D’autant plus qu’il y a eu une faute de stocker les numéros de CB
Si on forçait le marchand à payer les frais de renouvellement de cartes bancaire ils feraient sûrement plus attention à la sécurité.
Le 18/11/2020 à 19h54
Visiblement, Le Pape a aussi des soucis du côté de son compte Instagram…
Le 19/11/2020 à 09h18
Lire dans l’article :
“Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté”
Le 19/11/2020 à 09h22
Décidément, quelques personnes commentent systématiquement sans même prendre le temps de lire les 10 lignes de l’article !
Le 19/11/2020 à 10h15
Pour la première fois, prévenu directement par ma banque qui a bloqué ma carte toute seule, et m’en envoie une.
Pas mal, vu que je lis jamais mes mails des sites marchands!
Le 21/11/2020 à 19h14
J’ai fait une commande sur ce site le 8 septembre mais par PayPal donc mon numéro n’a pas fuité par ce site. Mais il a quand même fuité via un autre site car le 11 novembre dernier, j’ai reçu des sms de ma banque m’indiquant que 2 paiements avaient été refusés pour cause de date de validité incorrecte. Je suis curieux de savoir par quel site…
Le 23/11/2020 à 09h21
L’article a été lu, si les numéros n’étaient pas stockés il n’y aurait pas besoin de faire opposition
Le 23/11/2020 à 11h24
Le 24/11/2020 à 15h37
Pas stockés, INTERCEPTES