Le point affirme que les enquêteurs de la Sûreté départementale de la Drôme ont procédé à des arrestations suite à une vaste affaire d'escroquerie dont le préjudice est estimé à 350 000 euros. « Selon les premières investigations, un ou plusieurs individus sont parvenus à s'introduire dans les fichiers informatiques de cette société d'e-commerce avant de multiplier les commandes avec les références des cartes bancaires de près de 500 clients » expliquait hier une source proche du dossier citée par nos confrères.
Aujourd'hui, un porte-parole de Cdiscount confirme à nos confrères du Figaro que des clients ont bien été victimes d'une arnaque, mais réfute la piste du piratage : « Il est important de préciser qu'il n'y a pas eu de piratage du site Cdiscount. Aucune faille de sécurité n'a été constatée. Ces clients ont été abusés par des mails frauduleux suite auxquels ils ont livré leurs coordonnées bancaires ». La boutique en ligne ajoute que « les clients peuvent continuer à faire leurs achats en toute sécurité ».
Quoi qu'il en soit, les articles achetés frauduleusement étaient ensuite livrés dans des points relais de la Drôme. Cinq personnes (dont deux mineures) étaient chargées de récupérer les colis en échange de 60 euros. Ils auraient précisé agir pour le compte d'un commanditaire, sans en donner le nom. L'affaire aurait démarré en juin suite à de nombreuses plaintes de la part de clients Cdiscount.
« Dans cette affaire, Cdiscount a été victime d'un préjudice financier concernant à la fois les remboursements et les frais de livraisons offerts lors des achats. Pour cette raison, nous avons déposé plainte en septembre et nous nous portons partie civile » ajoute le revendeur au Figaro. Dans tous les cas, les investigations se poursuivent.
Rappelons que Cdiscount avait été sévèrement épinglé par la CNIL l'année dernière à cause de commentaires « non pertinents » sur ses clients, de sa gestion des cookies et... de la conservation de plus de 4 000 données bancaires (parfois avec le cryptogramme visuel) « de manière non sécurisée ». Une pratique tout sauf conforme aux usages en la matière.
Commentaires (9)
#1
Ce qui veut dire que malgré l’épinglage par la CNIL l’an dernier, Cdiscount continuait à stocker en clair les données CB de ses clients?
" />
#2
Pour avoir eu affaire a Cdiscount dans le cadre d’un piratage de mon compte (qui avait été utilisé pour passer des commandes avec des cartes de payement volées), je peux vous confirmer que cette boite est à fuir.
Si vous avez un compte chez eux, essayez de le faire fermer (ce qui passera probablement comme pour moi par une plainte à la CNIL). Si ce n’est pa le cas, c’est une bonne chose, je vous encourage vivement à ne jamais leur confier de données sur vous, ne serait-ce que le nom de votre chien.
Ces gens sont des truands déguisés en commerçant, ils ne sont en aucun cas digne de confiance.
#3
Alors j’ai ouïe dire qu’il s’agissait plutôt d’une affaire de fishing plutôt que de faille dans BDD.accés/toussa.
Source: http://www.lefigaro.fr/conso/2017/12/15/20010-20171215ARTFIG00094-pres-de-500-cl…
#4
Tu m’expliques comment tu utilises un numéro de CB si tu l’as cryptés ?
Pour stocker des numéros de CB, CDiscount, ou son prestataire de paiement doit obtenir la validation PCI-DSS et ne stocker les informations bancaires sur une infra ayant obtenu cet agrément.
#5
La mise en demeure de la CNIL à l’encontre de Cdiscount est clôturée depuis mai
#6
Suffit de regarder leur site pour voir que c’est pas sérieux, comme boîte ;)
#7
La même, si c’est bien du phishing cdiscount pourrait se retourner contre lepoint car c’est clairement de la désinformation et en période de Noël le manque à gagner est colossal.
Je trouve ça scandaleux de ternir l’image d’un site/hénergeur/etc… pour une histoire de phishing. On a jamais dit que la caf ou EDF voir les impots étaient compromis quand y’avait les faux mails qui circulaient.
#8
La même intox relayée de partout, en effet.
Pas d’intrusion, juste du phishing, et des commandes effectuées grâce au paiement one click sur les comptes récupérés.
#9