Hold-up chez Vinted : comment des pirates ont vidé les cagnottes
C'est la panique sur Vinted depuis plusieurs jours ! Suite à un vaste et féroce piratage, des centaines d'utilisateurs ont vu leur cagnotte siphonnée, puis leur compte bloqué. La plateforme promet de leur verser une indemnité.
En 2023, près de 23 millions de Français – soit un sur trois ! – utilisent la plateforme Vinted pour acheter et vendre des vêtements, accessoires et autres objets de seconde main. En seulement quelques années, l'entreprise lituanienne a connu une ascension fulgurante. Il n'a donc pas fallu longtemps avant que son succès n'attire des personnes malveillantes ! Et si la plateforme abrite de nombreuses arnaques – vente de contrefaçons, faux profils, colis jamais reçus… –, elle est également la cible de cybercriminels. En effet, Le Parisien rapporte que depuis plusieurs jours, des centaines d'utilisateurs ont vu leur cagnotte – un porte-monnaie virtuel qui permet aux membres de récupérer et de stocker l'argent des ventes pour ensuite acheter directement sur le site ou le transférer sur leur compte bancaire – disparaitre du jour au lendemain, certaines contenant 800 ou 900 euros ! Marianne Leleu, une employée de Vinted depuis huit ans qui est en charge des piratages, a vu le nombre de témoignages exploser sur le compte Instagram qu'elle anime. "Le mode opératoire existait, mais il n'était pas aussi massif. Depuis deux jours, c'est carrément un réseau qui s'est organisé, avec des victimes en Espagne et en Italie", s'inquiète-t-elle. De son côté, Vinted a confirmé à l'AFP avoir récemment bloqué l'accès aux comptes de plusieurs de ses membres, en raison d'un incident au cours duquel un accès frauduleux a été constaté.
Arnaque Vinted : les cagnottes des utilisateurs ciblées
Les comptes ciblés ne sont pas choisis au hasard : les pirates ont fait du repérage et les ont sélectionnées en fonction des sommes disponibles sur les portefeuilles. Une fois les identifiants du compte en main, la procédure est des plus faciles : il leur a suffi de changer le mot de passe et le RIB associé afin de transférer la cagnotte sur leur propre compte bancaire. Certaines des victimes ont reçu des SMS, e-mails ou appels les informant qu'un changement de coordonnées était en cours sur leur compte. Elles n'ont toutefois pas réagi, pensant qu'il s'agissait d'une arnaque ou d'une tentative de phishing. De toute façon, c'était déjà trop tard car les pirates avaient déjà prix le contrôle de leur compte. D'autres utilisateurs n'ont tout simplement rien vu venir puisque les pirates ont seulement changé le RIB associé au compte, ce qui ne nécessite aucune approbation par e-mail ou SMS, pour récupérer l'argent plus tard. Pour empêcher les victimes de réagir en changeant le mot de passe piraté et en supprimant le RIB, ils ont même été jusqu'à publier des contenus pornographiques sur leur profil, afin que leur compte soit automatiquement bloqué une fois l'argent détourné ! Quelle élégance !
Vinted a confirmé l'incident et indiqué avoir bloqué les comptes de plusieurs membres, sans toutefois donner plus de détails. L'entreprise a toutefois tenu à préciser que "les informations de connexion utilisées (identifiants, mots de passe, …) ont été obtenues à partir de données consultées ailleurs en dehors de la plateforme et non liées à Vinted". En clair, les voleurs auraient récupéré les données lors d'un précédent piratage – on en trouve très facilement à vendre sur des forums du Dark Web – et utilisé la combinaison adresse mail et mot de passe dérobée pour se connecter aux comptes et les vider. "En outre, nous pouvons confirmer que les détails de carte bancaire ne sont pas visibles dans leur intégralité en cas d'accès au compte", se justifie-t-elle. Car en plus des cagnottes, des pirates ont également réussi à récupérer les coordonnées bancaires de certains membres. D'après l'enquête du Parisien, l'argent dérobé aurait été envoyé en Allemagne, en Irlande ou encore au Luxembourg.
Vinted assure mettre tout en œuvre pour "rétablir l'accès" de ces utilisateurs "à leur compte" et "les conseiller pour assurer la sécurité de leur compte et de leurs identifiants". De plus, les victimes "seront éligibles à une indemnisation en cas d'argent perdu sur leur porte-monnaie Vinted", sans qu'elle ne précise toutefois le nombre de membres touchés ni n'évalue le préjudice subi. Aussi, mieux vaut éviter de garder trop d'argent dans sa cagnotte, changer son mot de passe ainsi que celui de ses autres comptes si jamais ils sont identiques. Enfin, mieux vaut surveiller attentivement les mouvements de ses comptes bancaires les prochains mois.