Basic-Fit a été piraté et les données bancaires des adhérents dérobées

Basic-Fit a été piraté et les données bancaires des adhérents dérobées
Maurine Briantais

Les cyberattaques en série ont fait une nouvelle victime : Basic-Fit. Les données personnelles, mais aussi bancaires, des adhérents de la célèbre chaîne de salles de sport ont été dérobées, les exposant à des tentatives de phishing.

Mauvaise nouvelle pour les aficionados de la fonte ! Basic-Fit, la chaîne de salles de sport qui revendique 5,8 millions de membres et plus de 2 150 clubs dans toute l'Europe, dont la France, vient de se faire pirater. Dans un communiqué diffusé le 13 avril, elle indique avoir "identifié un accès non autorisé au système qui enregistre les visites des membres dans les clubs".

Les données compromises couvrent un large éventail d'informations personnelles. Il s'agit notamment des noms, adresses postales, adresses électroniques, numéros de téléphone et dates de naissance des adhérents, mais aussi, et c'est plus embêtant, leurs données bancaires, et plus exactement leurs numéros de compte bancaire et le nom du titulaire du compte. Des informations relatives à l'abonnement ont également été dérobées, comme le type de contrat, le solde de paiement, le numéro de pass, l'historique des visites sur la semaine écoulée et le nom de l'appareil mobile utilisé. En revanche, les mots de passe auraient été épargnés. 

Piratage Basic-Fit : une fuite de données de plus

Environ un million de membres au sein de plusieurs pays ont été touchés par cette fuite, dont la France, la Belgique, l'Allemagne, l'Espagne, le Luxembourg et les Pays-Bas. Basic-Fit indique avoir bloqué l'accès non autorisé quelques minutes après sa détection par ses équipes. La Commission nationale de l'informatique et des libertés (CNIL) a été notifiée, comme il est de coutume dans cette situation, et une plainte a été déposée auprès des autorités.  L'entreprise explique surveiller "de près si les données téléchargées sont rendues publiques" avec l'aide de "spécialistes externes". Reste que les membres de la chaîne de sport sont désormais dans le viseur des cybercriminels…

Pour l'instant, il n'y a malheureusement pas grand-chose à faire pour se protéger, si ce n'est veiller à ne jamais communiquer de mot de passe ou d'informations sensibles suite à un message non sollicité. Toute tentative de phishing doit être directement signalée à sa banque ou à Basic-Fit via l'adresse privacy@basic-fit.com. Il est également recommandé de surveiller très attentivement ses mouvements bancaires et les opérations par prélèvement débité sur son compte. Enfin, en cas de fraude, il faut contester sans délai l'opération.

Ce n'est pas la première fois que Basic-Fit se retrouve dans une histoire de piratage. Fin février, un pirate informatique avait revendiqué l'accès aux systèmes de MaSalleDeSport, un prestataire informatique commun à plus de 2 000 salles de sport en France, parmi lesquelles Basic-Fit, Fitness Park et l'Orange Bleue. Les données personnelles des adhérents auraient là aussi été dérobées. L'incident n'a toutefois jamais été officiellement confirmé.