Shadow victime d'une attaque, des données privées des clients dérobées 🆕
Shadow a informé hier ses clients avoir été victime d'une attaque « hautement sophistiquée » qui a conduit à la fuite de données privées. Dans l'email adressé à ses abonnés, le service indique qu'ont été volés « votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. »
« Aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis », précise Shadow. Néanmoins, les autres données privées maintenant dans la nature peuvent être utilisées par des malandrins pour monter toutes sortes d'arnaques, comme des tentatives de phishing. La plupart des clients, sinon tous (y compris ceux qui ne sont plus abonnés aujourd'hui, puisque nous avons reçu un email sur un compte qui n'est plus utilisé), semblent concernés par la fuite — nous attendons une précision de l'entreprise à ce sujet.
Le service français, qui présente ses excuses pour la gêne occasionnée, détaille l'attaque dont il a fait l'objet :
À la fin du mois de septembre, nous avons été victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de la même attaque. L'attaquant a pu exploiter l’un des cookies dérobés pour se connecter sur l’interface de gestion d’un de nos fournisseurs SaaS. Grâce à ce cookie, désormais désactivé, l’attaquant a su extraire, via l’API de notre fournisseur de SaaS, certaines informations privées vous concernant.
Shadow dit avoir depuis sécurisé ses systèmes ainsi que pris des précautions pour éviter de futurs incidents.
Mise à jour le 13 octobre à 16 h — Comme l'a remarqué BleepingComputer, un internaute affirme sur un forum de piratage être le responsable de l'attaque et avoir volé les données de 533 624 utilisateurs, qu'il met maintenant en vente. Cette base de données n'a pas encore été authentifiée, nous avons demandé à Shadow s'il s'agissait véritablement des données de ses clients et sommes dans l'attente d'une réponse. Si cette base de données est véridique, le nombre d'utilisateurs concernés tend à penser que ce sont aussi bien les anciens clients que les clients actuels qui ont vu leurs infos personnelles subtilisées (au top de sa forme, Shadow cumulait 100 000 abonnés simultanés).
Shadow PC Essential : le PC dans le cloud à 10 € par mois, mais pas pour jouer
Ça fait toujours de la mauvaise pub pour l’entreprise, surtout juste après avoir annoncé un nouveau plan « Essential ».
À quel moment la justice va nous permettre, à nous citoyens clients, de porter ce type d’affaire au tribunal et faire reconnaître la responsabilité des entreprises à mieux sécuriser nos données ?
@instantcook
Si seulement !!! J'ai reçu ce mail hier aussi, je n'utilise plus le service mais super si mes coordonnées désormais se baladent dans la nature...
Shadow, j’en ai une mauvaise image car ils se sont fichus de moi (ils ont pris l’argent sans fournir le service).
Des prix qui montent, des prestations en baisse (quand ça fonctionne), des fuites de données… tout est dit.
Le gars se fait baiser parce qu’il télécharge un truc de jeu sur steam via discord… non mais sérieux, il n’a donc pas la notion de ce qu’est la sécurité informatique alors qu’il est sensé être sachant ? (Heureusement pour lui et pour la boite ça ne vient pas d’un truc de cul…)
J’ai toujours considéré que le travail à distance était une faille monstrueuse pour les entreprises, les services informatiques sont pour la plupart totalement incompétents en matière de sécurité, pour une raison très simple ce n’est pas « pratique », sans compter l’entourage qui peut voir ou entendre des choses qu’il n’a pas à savoir.
Maintenant que tout est open-bar le gars il joue tranquille sur un ordi qui sert pour bosser. Tout le monde le fait peut-être mais c’est déjà une énorme faille, une faute.
@MGA
Kaspersky a eu accès à des outils de la NSA parce qu’un de leurs agents a téléchargé un crack de Office, pourtant connus pour être des nids à malwares.
Les « sachants » sont parfois un peu trop sûrs d’eux 😶
@Rigby
C’est clair… et parfois plus c’est énorme plus ça passe inaperçu.
Plus généralement un système infaillible n’existe pas, mais les entreprises françaises ont les portes grandes ouvertes à l’espionnage industriel. Le vol des bases clients c’est ce que nous voyons, le reste est bien plus inquiétant pour les entreprises.
@MGA
C’est totalement faux de dire que « les entreprises françaises ont les portes grandes ouvertes pour l’espionnage industriel ». Comme tu l’as dit , personnes et aucune entreprise n’es infaillible. C’est strictement impossible. Toutes les entreprises françaises protègent leurs secrets industriels. Surtout les entreprises militaires et sécuritaires.
@ Gerrer
> Comme tu l’as dit , personnes et aucune entreprise n’es infaillible
Installer des jeux sur un ordinateur professionnel ce n'es pas être "faillible", c'est une faute professionnelle.
@Gerrer
Ce n’est pas moi qui le dit… au delà des scandales qui sortent dans la presse de temps à autre, les cas de tentatives, sans nommer les cibles, sont parfois documentés et trouvables sans chercher bien loin avec Google. Le plus simple est encore le cas de l’ancien employé parti avec les « secrets » mais la menace cyber est plus sournoise.
Un coup de casper
Ca me conforte dans ma decision d’avoir souscrit à un service de relai d’email (Firefox Relay en l’occurrence). Ça ne fait pas des miracles, mais au moins l’adresse email est protégée, et le service est fait par Mozilla ce qui semble plus respectueux de ses utilisateurs.
Je pense que je vais aussi prendre un service de carte bancaire virtuelle ou utiliser un service tiers comme PayPal lorsque la possibilité est offerte.
C’est devenu impossible de donner des informations personnelles à n’importe quelle entreprise aujourd’hui. C’est une question de temps avant que ça fuite. (Même MacG s’est fait piraté dans le passé… 😔)
Et puis donner une fausse date de naissance sauf pour les services officiels (banques, administration).
Et en profiter pour se rajeunir ou se vieillir, selon sa coquetterie 😔
A part ça, vivement le tout numérique pour les papiers d’identité, l’argent etc… 🤪🙄
@Urubu
+1000 👍🥳
@Urubu
Avec la CNI numérique on n’envoie pas sa CNI.
C’est un tiers de confiance qui délivre la certitude qu’on est Français, et/ou mineur ou majeur à l’instant, et/ou qu’on s’appelle bien Josette épouse X, et/ou qu’on est homme ou femme, et/ou qu’on habite au Splendid, et/ou le numéro, et/ou la biométrie.
Et tous les destinataires n’ont pas droit à toutes les informations.
Ceci-dit ça ne permettra plus de se rajeunir ou vieillir par coquetterie dans le but de laisser moins d’infos sensibles, ou de fausses infos pour afin de brouiller les pistes des cybercriminels…
Ni ne permettra à un majeur d’accéder à un site réservé aux minots (oups, à une lettre près j’ai failli doigter 🤭😱)… ou l’inverse.
@DG33
Blablabla
Donc le gars télécharge un jeu depuis le PC du taff ? Sérieux ? Si c’est pas de la négligence…
ben OVH reste OVH…
Moi, je trouve ça assez courageux de reconnaître la faille et de la détailler autant… surtout sachant tout ce qui va être dit sur l’incompétence du service, du gars, bref… La première chose à apprendre en terme de sécurité informatique, c’est que chacun peut être attrapé via de l’ingénierie sociale. Et quand je dis chacun, je pense à tout le monde, toi, moi, nous, l’oomu. Tout le monde ! Je n’aurais pas pu être arnaquée de cette façon mais le
pirate aurait trouvé une autre façon, adaptée à mon cas ! La faille est humaine !
@Aquilane
S'il ne reconnaît pas l'attaque, c'est une violation du RGPD et bonjour la méga amende...
@Aquilane
Ce n'est pas courageux, c'est imposé par la loi
Pas de donnée bancaures compromises?!! La date d’expiration de la carte c’est quoi alors…??
Cela montre leur légereté de ne pas tout stocker crypté!!
@0MiguelAnge0
Tu fais rien avec la date d'expiration, faut arrêter de tout confondre.
Cette date permet au service de prévenir les utilisateurs que leur carte arrive à terme et donc que le service ne soit pas interrompu.
@Somatiic "Bonjour monsieur Machin, nous avons détecté un problème avec votre carte bancaire expirant le mm/aa, afin de résoudre ce problème merci de suivre ce lien pas méchant du tout".
@Chris K
Alors si tu arrives à tomber dans le panneau, tu es un sacré guignol... Même ta banque ne dis pas ça. Les gars, va falloir arrêter de taper sur les entreprises sans arrêt. Vous avez votre responsabilité aussi.
Ta date d'expiration n'a aucune valeur sans le numéro de ta carte.
@Somatiic
« Rappel ! Votre carte bancaire (numéros masqués par sécurité) arrive à échéance fin xx/yy. Veuillez confirmer l’envoi de votre nouvelle carte en cliquant ici (le code code secret changera par sécurité, délai 4 jours ouvrés supplémentaires, vous recevrez le nouveau code séparément sous enveloppe discrète) oui ici si vous souhaitez conserver le même code secret (soyez vigilant, ne notez jamais votre code secret). Votre conseiller.»
Une fois le poisson hameçonné il donnera tout ce qu’il peut sur le faux site web (à commencer par les 4 premiers chiffre des la carte afin de tomber sur une page maquillée aux couleurs de sa banque, puis « confirmation » du reste des numéros de la carte actuelle, puis son ancien code, voire le nouveau code, lequel peut être soyons fou jour et mois de naissance car ça servira pour une autre arnaque, et enfin le code de sécurité à 3 chiffres, et enfin confirmer son adresse afin de bien recevoir sa carte).
Sur un fichier de 500.000 données datant peu, un quart à un tiers sera inutilisable car date déjà dépassée, le reste sera exploitable (comme toujours, selon la crédulité de la personne ciblée).
@DG33
C'est quoi ta banque ? Non parce que JAMAIS la mienne communique et gère une nouvelle carte de la sorte.
Tu m'étonnes que les hackers ont de beaux jours devant eux...
@Somatiic
Ne t’inquiète pas pour moi, pour le moment je ne me suis jamais fait avoir.
@Somatiic
J’imaginais ci-dessus le script du hacker 🤔
Plus il endort sur la sécurité, meilleure est la pêche.
C’est vraiment la faille du moment les vols de cookie
A minima il faudrait commencer par associer cookie et adresse IP
Les protocoles d’authentification sont toujours plus sécurisés (totp, webauthn etc etc) mais in fine tout repose sur un cookie c’est malheureux
La catastrophe jusqu’au bout chez Shadow… quand ça veut pas ça veut pas.
«le nombre d'utilisateurs concernés tend à [faire penser] que ce sont aussi bien les anciens clients que les clients actuels qui ont vu leurs infos personnelles subtilisées»
Or, les données des anciens clients (qui n'ont donc plus de compte ?) n'ont aucune raison d'avoir été conservées.
Outre la gestion de la sécurité faite n'importe comment, la gestion des données est complètement "folklorique".
@BLM
Hélas disparaître des fichiers clients ressemblerait à un aveu d’échec pour les entreprises.
Perdre une référence client.
RGDP ou pas, les fichiers de certaines enseignes de distribution hébergent encore mes ascendants décédés. Passage en magasin, mail à qui de droit, mais toujours la liste des adresses proposées lors d’un nouvel achat.
@andmag
Dans tous les cas, il pourrait y avoir litige, donc il faut conserver les données un certain temps.
@Ichigo-Roku
Pas forcément sur la même base ou le même serveur…
@andmag
Mouais.
Cependant, les données privées collectées pour des finalités à définir, doivent être stockées selon différents modes (« base active », « archivage intermédiaire », éventuellement «archivage définitif» pour des besoins "patrimoniaux" spécifiques – les données sont alors anonymisées)
À chacune des étapes de ces archivages, un tri doit être effectué.
En particulier « lorsque des données sortent de la «base active», elle ne doivent plus être consultables par tous les opérationnels initialement prévus, mais uniquement par les personnes spécialement habilitées en raison de leur fonction (exemple : service contentieux)
Que les gestionnaires responsables des données privées dans tout un tas de boîtes fassent n'importe quoi, je n'en doute pas.
Par contre, une entorse avérée à la Règlementation Générale sur la Protection des Données coûte extrêmement cher.
Et, là, manifestement, Shadow, gérait indistinctement dans un même archivage les données des clients actifs et de ceux qui ne le sont plus. Une autre conjecture est que le guignol qui a utilisé son poste de travail pour aller se balader sur Discord et faire du téléchargement sauvage avait une habilitation de haut niveau…
Bref, encore un service de protection des données conçu par des charlots.
(accessoirement, connaître la date d'expiration d'une carte et l'adresse du détenteur permet d'aller relever la BAL pour voler la nouvelle carte lors de son renouvellement automatique…)
@BLM
Les données n’étaient pas stockées par Shadow, mais chez un prestataire. Le pirate a subtilisé un moyen de connexion à ce prestataire. Donc si ça se trouve, la conservation des anciennes données n’est pas de ressort de Shadow, mais du prestataire.
@dodomu
«la conservation des anciennes données n’est pas de ressort de Shadow, mais du prestataire»
Shadow est responsable des actes de son sous-traitant.
@BLM
Ça m’étonnerait fort que ça soit le cas, à moins peut être que Shadow ait délibérément choisi un prestataire peu fiable, mais j’en doute…
Qu’une entreprise puisse être juridiquement (contractuellement c’est autre chose) responsable des actions d’un tiers (fut-il un prestataire) ne me semble pas être compatible avec le principe d’état de droit, si vous avez des éléments pour étoffer je suis preneur ! 😉
@dodomu
Je ne suis pas juriste.
Mais ce serait un peu facile que, par définition, le prestataire contractuel d'un service puisse se défausser de sa responsabilité sur son sous-traitant.
Par expérience, dans le bâtiment, c'est l'entreprise qui a soumissionné à l'appel d'offres qui est a priori responsable vis-à-vis de son client, même si in fine le travail a été effectué par un sous-traitant (contre lequel elle pourra se retourner. Mais ce n'est pas le problème du client).
@BLM
Je comprends mieux votre point de vue. 🙂
Mais selon moi, c’est le sous traitant qui devrait être responsable légalement, car c’est lui qui a commis la faute, mais je suis d’accord avec le fait que ce n’est pas au consommateur d’avoir à gérer ça…
Je pense expliquer mon point de vue par le fait qu’aujourd’hui, le travail est de plus en plus spécialisé, et il me semble impossible d’exiger de toute entreprise qu’elle porte la responsabilité de toute la chaîne de production, par exemple imaginons une blessure d’un patient dans un hôpital, suite à un défaut intrinsèque à un appareil de soin, il me paraît inconcevable que l’hôpital sois tenu responsable de l’accident, c’est le fabricant de l’appareil qui devrait l’être (mais l’hôpital devrait effectivement avoir la responsabilité de se retourner contre le fabricant).
Le rgpd dit justement l'inverse. C'est à toi de vérifier la bonne exécution du traitement des données par ton sous-traitant mais comme dans la majorité des cas. Globalement le client doit toujours être informé si un travail est opéré par un sous-traitant mais tu restes responsable devant ton client de la bonne exécution du contrat et dans la cadre du RGPD tu reste responsable tout court.
De l'ingénierie sociale... via Discord.
Elle est belle la France.
J’avais deux comptes chez Shadow. J’ai vérifié et aucun ne contient d’informations bancaires. Qu’est-ce que je risque du coup ?
@LaurentR
- De recevoir du spam sur l'adresse mail.
- L'utilisation de ces informations sur vous (date de naissance, adresse,...) pour vous donner confiance dans un mail de phishing (on fait plus confiance si la bonne adresse postale ou date de naissance est précisée).