Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cyberattaque contre Easyjet : des données de 9 millions de clients dérobées, dont 2 208 cartes bancaires

Cyberattaque contre Easyjet : des données de 9 millions de clients dérobées, dont 2 208 cartes bancaires

Le 20 mai 2020 à 09h34

Dans un communiqué repris par l’AFP, la société explique avoir été victime d’une attaque « hautement sophistiquée ». La date n’est pas précisée, mais la fuite est désormais colmatée assure-t-elle.

L’adresse email et des informations de voyages d’environ 9 millions de clients sont dans la nature, ainsi que les données de la carte bancaire de 2 208 clients. Toutes les personnes concernées sont en train d’être contactées.

Jusqu’à présent, l’entreprise n’a « aucune preuve que des informations personnelles de quelque nature que ce soit ont été utilisées à mauvais escient » pour le moment, mais le risque de phishing doit être pris en compte par les personnes concernées.

Le 20 mai 2020 à 09h34

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Toujours les mêmes questions qui reviennent pourquoi des données bancaires en clair ?

votre avatar

Moi c’est surtout le “hautement sophistiquée” qui m’interroge… Ils te font croire que c’est le croquemitaine qui les as piraté alors que c’est surement un exploit tout bête basé sur un phishing basique puis des défauts de sécurisation chez eux… (Voir même le coup de la BDD avec “admin” comme mot de passe)

votre avatar

Les e-mails et les infos de voyages, ok, mais pourquoi Easyjet stocke des données de CB ? (chiffrées ou pas)

votre avatar







XMalek a écrit :



Toujours les mêmes questions qui reviennent pourquoi des données bancaires en clair ?





ou est ce indiquée que les données étaient en clair concernant les CB?

autant je suis dépité pour cette énième attaque, autant faut pas tirer sur l’ambulance. Attendons de voir comment ils se sont fait poutrer avant de les pointer du doigt.


votre avatar







Jarodd a écrit :



Les e-mails et les infos de voyages, ok, mais pourquoi Easyjet stocke des données de CB ? (chiffrées ou pas)





Pour améliorer l’expérience utilisateur !

Plus sérieusement, j’imagine que c’est un moyen pour pousser le client à l’achat. On évite ainsi le “Oh, j’ai ma carte bleu dans mon sac. Tant pis je prendrai les billets plus tard …”. En faux clic est si vite arrivé !

En tout cas, c’est un bon exemple de ce qu’il ne faut pas faire : confier ses données bancaires à un tiers … Et heureusement que ce n’est pas obligatoire chez Easyjet. Contrairement à Amazon, ou AirBnb pour ne citer qu’eux …


votre avatar

Pour moi, le ratio de CB vs le nombre de données perso est trop faible. Ça me rappelle plutôt le genre de piratage à la British Airways où un script JS malveillant avait été injecté dans la régie pub et qui exfiltrait les data des CB.

Après c’est que des suppositions, mais ça ressemble plus à 2 attaques qu’à une seule.

votre avatar

Si seulement c’était le cas !

Il y aurait matière a légiférer pour interdire la publicité ciblée sur toute page ayant un lien quelconque avec un paiement.

votre avatar

Autre attaque sur des magasins en ligne :



Le FBI affirme que des pirates informatiques exploitent une vulnérabilité vieille de trois ans dans un plugin Magento pour prendre le contrôle des magasins en ligne et planter un script malveillant qui enregistre et vole les données de carte de paiement des acheteurs.



Merci ma banque qui propose des cartes virtuelles <img data-src=" />

votre avatar

Fake news !! Le RGPD oblige les sociétés à protéger nos données personnelles, donc ca ne peut pas être vrai.



(ou alors le RGPD c’est du flan, mais je n’ose y croire)

votre avatar

Parce que sur les communiqués officiels après fuite de données de ce genre tu es censé indique si les données sont exploitables ou pas (chiffrés ou non). Si ce n’est pas marqué chiffré ou non exploitable, c’est que c’était en clair. Après il faut attendre le communiqué de la cnil dessus (si il y a).



Mais clairement je pense que si les cbs n’étaient pas exploitables ils l’indiqueraient en gros et en large.



&nbsp;(et oui j’ai déjà du fournir des infos sur une fuite de données “potentielle”)&nbsp;

votre avatar

Ou peut être tout simplement qu’ils ont récupérer des données audio de client dans lesquels pour finaliser des achats ils te demandent de leur filer un numéro de carte (perso chez moi c’est un gros non, mais je sais que beaucoup de personnes d’un certain âge n’ont aucun scrupules à le faire)

votre avatar

Tant que c’est pas une fuite de kerozen en plein vol. :)

votre avatar







127.0.0.1 a écrit :



Fake news !! Le RGPD oblige les sociétés à protéger nos données personnelles, donc ca ne peut pas être vrai.



(ou alors le RGPD c’est du flan, mais je n’ose y croire)





Pas du tout : le RGPD leur impose de t’informer s’ils se font pirater. C’est tout.

&nbsp;


votre avatar

Les compagnies ariennes devraient être punis beaucoup plus sévèrement que les autres entreprises pour ces fuites, car leurs clients ont l’obligation légal de ne pas leur donner de faux noms pour pouvoir utiliser leurs services <img data-src=" />

votre avatar

Si on les punis plus sévèrement tout en leur prêtant de l’argent est-ce qu’on va vraiment s’y retrouver&nbsp;? <img data-src=" />

votre avatar

Comme le dit la CNIL: “Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.”

votre avatar







XMalek a écrit :



Parce que sur les communiqués officiels après fuite de données de ce genre tu es censé indique si les données sont exploitables ou pas (chiffrés ou non). Si ce n’est pas marqué chiffré ou non exploitable, c’est que c’était en clair. Après il faut attendre le communiqué de la cnil dessus (si il y a).



Mais clairement je pense que si les cbs n’étaient pas exploitables ils l’indiqueraient en gros et en large.



&nbsp;(et oui j’ai déjà du fournir des infos sur une fuite de données “potentielle”)&nbsp;&nbsp;





Bravo et merci pour cette analyse.

Ça me fait penser aux aliments qu’on achète : quand c’est indiqué “Matières grasses végétales”, ça veut dire huile de palme dans le cas contraire souvent ça précise quelle huile il s’agit (et souvent bien visible) ou indiqué “sans huile de palme”. Mais je dévie du sujet.



Ça sert vraiment d’utiliser les carte bleue temporire -ecarte bleue-

quoique quid/problème si les compagnies ou même la SNCF demande la carte bleue avec laquelle on a payé.


votre avatar

Je ne comprends absolument pas que rien ne soit fait pour sécuriser les paiements habituels sur les sites de e-commerce.

Après vu le peu de fraude ça ne doit pas encourager à faire en sorte de développer quoi que ce soit….

Cyberattaque contre Easyjet : des données de 9 millions de clients dérobées, dont 2 208 cartes bancaires

Fermer