Un e-commerçant piraté : 700.000 comptes client exposés ? (màj)

Alexandre Laurent
Publié le 02 août 2012 à 13h59
Un pirate affirme avoir réussi à pénétrer la base de données du site e-commerce Pearl.fr et y avoir mis la main sur les données liées à plus de 700 000 comptes client ainsi qu'à plus de 1,1 million de transactions bancaires.

Un pirate qui se fait appeler « l0lzSec » a diffusé mercredi quelques centaines de lignes d'informations qu'il affirme avoir extraites des bases de données du site e-commerce Pearl.fr. On y découvre le nom, l'adresse email ou postale et le mot de passe de plusieurs des clients supposés de l'enseigne.

L'auteur de cette attaque dit détenir les informations liées à 729 115 comptes clients. « Et devinez quoi ? Les mots de passe sont en clair », se gausse-t-il.

Il affirme également avoir mis la main sur les informations associées à plus de 1,1 million de transactions bancaires, et livre pour justifier ses dires environ 80 identifiants de cartes bancaires inoffensifs, puisque déjà placés sur liste noire pour fraude.

L'attaque aurait été conduite par injection SQL. l0lzSec livre d'ailleurs l'une des URL vulnérables, tout en ajoutant qu'il publiera bientôt l'intégralité des données dérobées par ses soins. Nos tentatives pour entrer en contact avec la société Pearl Diffusion sont pour l'instant restées vaines.

Mise à jour, 14h : : notre confrère Zataz a eu plus de succès dans ses démarches. Pearl Diffusion lui a expliqué jeudi avoir été victime d'une tentative de rançon.

L'auteur de l'attaque, se faisant cette fois appeler Nullsecurity Team, aurait approché la société pour réclamer 2 500 euros en échange de la non divulgation des informations qu'il affirmait détenir. Celle-ci dit avoir refusé, ce qui aurait entraîné la publication des extraits évoqués ici.

D'après Pearl, il y aurait bien eu intrusion, mais avec un vol de données limité à quelque 3 700 clients, certains récents et d'autres datant de 2003. « Le site a été fermé dans la nuit pour correction. Des courriels ont été envoyés aux clients concernés », a indiqué la société à Zataz. Elle dit enfin prévoir de déposer plainte.

Mise à jour, 19h30 : un lecteur de Clubic, client de Pearl Diffusion, nous a fait parvenir jeudi le courrier reproduit ci-dessous, envoyé par le service client de la société suite à sa demande de renseignements. La société y reproduit l'argumentation selon laquelle seule un petit nombre de compte a été concerné par cette intrusion. Selon ses dires, les clients qui n'ont pas été contactés directement n'ont donc pas à craindre pour leurs informations personnelles.

01CC000005337934-photo-mail-service-client-pearl-fr.jpg


Publication initiale : 2 août, 12h45.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles