Les jours se suivent et se ressemblent. Lundi, Boulanger a annoncé être victime d’une fuite de données sur « quelques centaines de milliers de clients ». Mardi, c’était au tour de Cultura sur 1,5 million de clients, avec le dépôt d’une plainte. En fin de semaine dernière, c’était DiviaMobilités. Point commun entre Cultura et Divia : la fuite vient d’un prestataire externe, dont l’identité n’est pas précisée.
Ce mercredi, c’est au tour de Truffaut, comme l’indique Guillaume Champeau sur X : « Nous vous informons qu’un de nos prestataires informatiques externes a été visé par un acte de cyber malveillance. Ainsi, les données personnelles liées aux commandes réalisées sur Truffaut.com ont été ciblées. Aucune donnée bancaire n’est concernée ».
L’enseigne ajoute que l’incident est résolu et elle reprend un élément de langage de Boulanger avec une « vigilance renforcée ». Truffaut se distingue en donnant dans son message la messagerie pour contacter son délégué à la protection des données (DPO) : [email protected]. On regrette par contre que la liste précise des données dérobées ne soit pas donnée.
Comme nous l’expliquions hier, un pirate affirme détenir et mettre en vente des bases de données provenant de Cultura, Truffaut et Divia. Pour le moment, c’est donc un carton plein. Mais d’autres sociétés pourraient suivre suivant la présence du prestataire. Selon Zataz (merci floh), le prestataire pourrait être Octave.biz et on pourrait s’attendre à d’autres annonces de fuites chez GrosBill, PepeJeans et CyberTek.
Selon SaxX., la base de données Truffaut mise en vente contiendrait 277 000 comptes clients. On l’a vu avec Cultura et Boulanger, les chiffres ne sont généralement pas les mêmes entre les services presse des enseignes et les revendications du pirate. Nous avons contacté Truffaut pour de plus amples renseignements, sans réponse pour l’instant.
Comme toujours, le principal risque est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Truffaut avec les données récupérées et vous soutirer ensuite d’autres informations, voire de l’argent. Prudence donc.
Commentaires (10)
#1
Oui, je sais où se trouve la sortie...! ---> []
#2
#2.1
#3
Il y en a plusieurs qui revendique ce client dont celui-ci qui fait dans la logistique.
https://www.shippingbo.com/integrations/solution-logistique-truffaut/
Il revendique aussi Boulanger. :
https://www.shippingbo.com/integrations/solution-logistique-boulanger/
On voit aussi le logo de Décathlon (logique puisqu'ils partagent une même galaxie d'actionnaires).
Je n'ai donc pas d'informations à ce sujet mais tout se recoupe. Les 2 sociétés sont clients de ce prestataire logistique et Boulanger avait avertit que c'était les données de livraison uniquement qui avaient fuitées.
#4
Bientôt, ça sera plus simple d'établir la liste des sites qui ne se sont pas (encore) fait trouer que l'inverse :(
Edit : après vérif, visiblement mes comptes Cultura & Truffaut avaient été supprimés par les deux sites (pas d'actions dessus depuis longtemps).
Un bon point, si les données ne se sont pas retrouvées quand même dans les données fuitées.
Historique des modifications :
Posté le 11/09/2024 à 17h41
Je n'ai pas (encore ?) reçu de message de Cultura & de Truffaut…
Bientôt, ça sera plus simple d'établir la liste des sites qui ne se sont pas (encore) fait trouer que l'inverse :(
#5
https://actualitte.com/article/118886/technologie/piratage-les-petits-editeurs-paralyses-en-pleine-rentree-litteraire
#6
La sécurité des données personnelles ne peut pas être garantie sur internet.
Même le président de la république ne peut protéger les info sur sa vaccination covid ...
Si les données sont vraiment sensibles, elle ne doivent pas être accessibles depuis internet.
Pour le reste, il faut réduire au strict nécessaire les informations réclamées au internautes, et limiter les durée de stockage.
Vu la quantité de sites manipulant des données sensibles, ce n'est probablement qu'une question de temps avant que nous soyons tous exposés.
#6.1
La donnée n'a pas besoin d'être exposée directement pour fuiter. Elle peut être extraite par rebond via une autre application dont l'exposition est justifiée, ou encore via compte d'un profil à privilège, ou tout simplement depuis le réseau interne avec un poste vérolé.
#6.2
Dans notre société actuelle ou le numérique nous permet de faire toujours plus de choses, toujours plus vite, nous nous retrouvons aussi à exposer plus de données.
Si je prends le cas du fichier médical partagé: c'est une super idée pour la plupart des situations. Mais quelle prise de risque à long terme !
#7
Y'a pas de lien ? Un oubli ? Non, la CNIL et l'ANSSI n'en ont rien à battre manifestement, démerdez vous et circulez y'a rien à voir...