La semaine dernière, Western Digital reconnaissait avoir été victime d’une cyberattaque. « Une tierce partie non autorisée » avait alors obtenu « certaines données de ses systèmes », sans plus de précisions.
Le fabricant donne de plus amples informations suite à une enquête interne :
« Un tiers non autorisé a obtenu une copie de la base de données Western Digital contenant certaines informations à caractères personnel liées aux clients de notre boutique en ligne. Ces informations incluaient les noms de clients, les adresses d’expédition et de facturation, les adresses emails et les numéros de téléphone.
Par mesure de sécurité, la base de données cernée stockait les mots de passe et les numéros partiels de carte de crédit sous forme hachée et dans un format chiffré (avec salage) ».
Une communication a été faite vers les clients concernés, ce que plusieurs d’entre eux nous ont confirmé. Comme toujours en pareille situation, le risque de phishing est important : un pirate pourrait utiliser ces informations afin d’essayer de se faire passer pour Western Digital.
Commentaires (4)
#1
Si c’est haché et qu’il y a salage c’est du hachage, pas du chiffrement. La phrase d’origine ne dit pas ça : “In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers.”
Ce qui signifie que ces champs de la bdd contiennent des hashes salés et qu’en plus ils sont chiffrés au repos. Ce n’est pas le chiffrement qui est salé.
Ce ne sont d’ailleurs que les mdp qui sont hachés (puis chiffrés au repos), les numéros de CB quant à eux sont seulement chiffrés au repos.
Il est regrettable que l’entreprise ne communique pas sur l’algorithme de hachage utilisé, car s’il est inadapté et que le mdp est faible alors c’est quasi comme s’il n’y avait pas de hachage du tout. Ca donnerait aussi une idée du fait que WD respecte les bonnes pratiques et l’état de l’art ou non.
#2
Que de termes pudiques pour annoncer que WD conserve les n° CB de ses clients … Au 21ième siècle ?
#2.1
Je dirais que beaucoup de sites le font, a voir après s’ils sont sérieux derrière ou pas.
#3
Je confirme le mail également.