Pour gérer vos consentements :
Categories: Mobilité

Pearl.fr inscrit au tableau de chasse des pirates informatiques

Un pirate informatique connu sous le pseudonyme lOlzSec s’est infiltré dans les serveurs de Pearl.fr et en a extirpé une généreuse base de données commerciales par injection SQL.

L’intéressé prétend détenir les informations rattachées à 729 115 comptes d’utilisateurs. En l’occurrence, les adresses postales et électroniques, les numéros de téléphone ou encore les dates de naissance de tous les clients, sans exception.

Il aurait en outre eu accès aux fichiers témoins de quelque 1 115 050 transactions bancaires effectuées sur le site. Le tout était vraisemblablement stocké en clair, sans aucun cryptage, même basique.

Pour affirmer ses velléités, lOlzSec a diffusé partie de ce butin qu’il aurait pu faire fructifier en l’exploitant directement ou en le revendant.

Cela n’a pas été le cas. Les données se sont retrouvées publiées sur la Toile après l’échec de négociations par lesquelles le pirate, revenu sous le couvert d’un message signé de la NullSecurity Team, proposait de se rétracter en échange d’une rançon de 2500 euros.

Quand bien même le ton fataliste de l’appel, doublé d’un ultimatum de 24 heures, prêtait à céder à la tentation, Pearl.fr a proscrit toute conciliation.

Les rouages de la stratégie de lOlzSec étaient pourtant bien huilés. En plus de préciser que la faille était toujours active (les victimes potentielles auront soin de relever tout mouvement suspect sur leur compte bancaire), l’assaillant a fait part de son contrôle total de la situation.

« J’ai mis en place des backdoors sur chacun de vos serveurs. Modifier les mots de passe est donc futile, d’autant plus que je dispose d’une sauvegarde complète de votre base de données« , a-t-il déclaré d’un ton injonctif, menaçant en aparté d’opérer un « défacement » du site.

Pearl.fr, qui entend déposer plainte, a délivré à Zataz sa version des faits, moins pessimiste s’il en est : en tout et pour tout, 3700 comptes compromis et aucune donnée bancaire.

Les victimes présumées se sont néanmoins vu adresser un mail et leurs mots de passe ont été immédiatement réinitialisés. Le système de chiffrement des données est renforcé pour l’occasion.

Crédit image : © VRD – Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago