Piratage Temu et Action : vol massif de données personnelles chez les champions du hard discount
Après Boulanger, Cultura et d'autres, c'est au tour de Temu et d'Action de faire face à une importante fuite de données personnelles de clients. Des millions de comptes sont touchés. De quoi mettre au point de redoutables arnaques…
Ça n'en finit plus ! Depuis quelques semaines maintenant, les entreprises et les organismes français sont victimes de piratages en série, qui aboutissent aux vols de données personnelles des clients et des usagers. Et ça n'a pas l'air de s'arrêter ! Après Boulanger, Truffaut, Cultura et même l'Assurance retraite, c'est au tour de Temu et d'Action – qui ne sont pas d'origine française, mais possèdent une importante base de clients dans l'Hexagone – de faire les frais d'un hacking. Les deux fuites ont été découvertes par Damien Bancal, le chercheur en cybersécurité du blog Zataz.
Piratage Action : les données de 10 000 clients compromises
Début septembre, un pirate a mis en vente une base de données concernant les clients inscrits sur action.com, la plateforme officielle de la chaîne de magasins discount permettant de consulter les offres disponibles en magasin, de s'informer sur les promotions hebdomadaires et de se renseigner sur les différentes catégories de produits. Au total, ce sont près de 10 000 "enregistrements de clients".
Si le pirate n'a pas indiqué comment il avait mis la main sur ces informations, les équipes de Zataz ont constaté qu'il avait compromis les comptes de plusieurs clients avaient été compromis. Parmi les données dérobées par le hacker, on retrouve les noms, prénoms, numéros de téléphone, dates de naissance, adresses postales et électroniques. Il n'y a heureusement aucune donnée bancaire dans le lot.
Depuis, la base de données mise en vente a été supprimée de l'espace de stockage en ligne Mega, où elle était stockée, grâce aux actions de Zataz. Il est cependant tout à fait possible que le pirate détienne encore le fichier et qu'il le redistribue ailleurs.
Piratage Temu : 87 millions de données en vente sur le Dark Web
Mais Action n'est pas la seule entreprise à s'être fait pirater ! En effet, les équipes de Zataz ont également découvert que Temu, la plateforme chinoise spécialisée dans la vente de produits low cost – et donc peu onéreux –, aurait également subi une intrusion. Ainsi, un pirate répondant au doux pseudo de "Fumeur de tabac" a mis en vente une base de données regroupant les informations personnelles de 87 millions de "lignes" volées à Temu. On y trouve les noms, prénoms, adresses IP, villes de résidence, sexes, dates de naissance et pays d'origine d'utilisateurs, dont de nombreux Français, Belges et Canadiens. Là encore, pas d'informations bancaires à signaler. L'attaquant indique que "les données n'ont jamais été vendues auparavant" et qu'une "seule copie sera vendue".
Pour obtenir un tel butin, le pirate se serait directement attaqué à l'interface de programmation d'application (API) de Temu, qui permet à la plateforme d'interagir avec d'autres systèmes et logiciels. Cela lui aurait permis de copier un grand nombre d'informations.
Avec ces multiples piratages, il faut s'attendre à des campagnes de phishing dans les semaines à venir. En effet, quand ils mettent la main sur des bases de données, les escrocs utilisent des informations personnelles pour adapter leurs pièges et rendre leurs messages plus crédibles. Bref, si vous êtes un client d'une de ces enseignes, redoublez de vigilance dans les prochaines semaines et comme toujours, ne répondez pas précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont vous ne connaissez pas l'expéditeur ou qui vous paraissent suspects. Prenez le temps de vérifier l'identité de l'interlocuteur avant de faire quoi que ce soit !
Suite à la publication de notre article, Temu nous a contacté pour son droit de réponse : "L'équipe de sécurité de Temu a mené une enquête approfondie sur la prétendue violation de données et peut confirmer que les allégations sont catégoriquement fausses ; les données qui circulent ne proviennent pas de nos systèmes. Pas une seule ligne de données ne correspond à nos enregistrements de transactions. Nous prenons très au sérieux toute tentative de ternir notre réputation ou de nuire à nos utilisateurs, et nous nous réservons le droit d'engager des poursuites judiciaires contre ceux qui sont responsables de la diffusion de fausses informations et tentent de tirer profit de telles activités malveillantes."