Les fuites continuent : Truffaut informe ses clients et pointe lui aussi un prestataire
Le 11 septembre 2024 à 15h45
2 min
Sécurité
Next
Les jours se suivent et se ressemblent. Lundi, Boulanger a annoncé être victime d’une fuite de données sur « quelques centaines de milliers de clients ». Mardi, c’était au tour de Cultura sur 1,5 million de clients, avec le dépôt d’une plainte. En fin de semaine dernière, c’était DiviaMobilités. Point commun entre Cultura et Divia : la fuite vient d’un prestataire externe, dont l’identité n’est pas précisée.
Ce mercredi, c’est au tour de Truffaut, comme l’indique Guillaume Champeau sur X : « Nous vous informons qu’un de nos prestataires informatiques externes a été visé par un acte de cyber malveillance. Ainsi, les données personnelles liées aux commandes réalisées sur Truffaut.com ont été ciblées. Aucune donnée bancaire n’est concernée ».
L’enseigne ajoute que l’incident est résolu et elle reprend un élément de langage de Boulanger avec une « vigilance renforcée ». Truffaut se distingue en donnant dans son message la messagerie pour contacter son délégué à la protection des données (DPO) : d.dpo@truffaut.com. On regrette par contre que la liste précise des données dérobées ne soit pas donnée.
Comme nous l’expliquions hier, un pirate affirme détenir et mettre en vente des bases de données provenant de Cultura, Truffaut et Divia. Pour le moment, c’est donc un carton plein. Mais d’autres sociétés pourraient suivre suivant la présence du prestataire. Selon Zataz (merci floh), le prestataire pourrait être Octave.biz et on pourrait s’attendre à d’autres annonces de fuites chez GrosBill, PepeJeans et CyberTek.
Selon SaxX., la base de données Truffaut mise en vente contiendrait 277 000 comptes clients. On l’a vu avec Cultura et Boulanger, les chiffres ne sont généralement pas les mêmes entre les services presse des enseignes et les revendications du pirate. Nous avons contacté Truffaut pour de plus amples renseignements, sans réponse pour l’instant.
Comme toujours, le principal risque est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Truffaut avec les données récupérées et vous soutirer ensuite d’autres informations, voire de l’argent. Prudence donc.
Le 11 septembre 2024 à 15h45
Commentaires (10)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 11/09/2024 à 16h38
Oui, je sais où se trouve la sortie...! ---> []
Le 11/09/2024 à 17h22
Le 11/09/2024 à 17h28
Le 11/09/2024 à 17h36
Il y en a plusieurs qui revendique ce client dont celui-ci qui fait dans la logistique.
https://www.shippingbo.com/integrations/solution-logistique-truffaut/
Il revendique aussi Boulanger. :
https://www.shippingbo.com/integrations/solution-logistique-boulanger/
On voit aussi le logo de Décathlon (logique puisqu'ils partagent une même galaxie d'actionnaires).
Je n'ai donc pas d'informations à ce sujet mais tout se recoupe. Les 2 sociétés sont clients de ce prestataire logistique et Boulanger avait avertit que c'était les données de livraison uniquement qui avaient fuitées.
Modifié le 11/09/2024 à 17h51
Bientôt, ça sera plus simple d'établir la liste des sites qui ne se sont pas (encore) fait trouer que l'inverse :(
Edit : après vérif, visiblement mes comptes Cultura & Truffaut avaient été supprimés par les deux sites (pas d'actions dessus depuis longtemps).
Un bon point, si les données ne se sont pas retrouvées quand même dans les données fuitées.
Le 11/09/2024 à 19h28
https://actualitte.com/article/118886/technologie/piratage-les-petits-editeurs-paralyses-en-pleine-rentree-litteraire
Le 11/09/2024 à 22h37
La sécurité des données personnelles ne peut pas être garantie sur internet.
Même le président de la république ne peut protéger les info sur sa vaccination covid ...
Si les données sont vraiment sensibles, elle ne doivent pas être accessibles depuis internet.
Pour le reste, il faut réduire au strict nécessaire les informations réclamées au internautes, et limiter les durée de stockage.
Vu la quantité de sites manipulant des données sensibles, ce n'est probablement qu'une question de temps avant que nous soyons tous exposés.
Le 12/09/2024 à 07h36
Le 12/09/2024 à 19h59
Dans notre société actuelle ou le numérique nous permet de faire toujours plus de choses, toujours plus vite, nous nous retrouvons aussi à exposer plus de données.
Si je prends le cas du fichier médical partagé: c'est une super idée pour la plupart des situations. Mais quelle prise de risque à long terme !
Le 12/09/2024 à 10h37
Y'a pas de lien ? Un oubli ? Non, la CNIL et l'ANSSI n'en ont rien à battre manifestement, démerdez vous et circulez y'a rien à voir...
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?