Pearl.fr inscrit au tableau de chasse des pirates informatiques

Mobilité
piratage-attaque-fraude-cybercrime Twitter

Pearl.fr entend porter plainte après qu’un pirate informatique connu sous le pseudo lOlzSec s’est infiltré dans ses serveurs par injection SQL, pour dérober des données commerciales et des témoins de transactions bancaires.

Un pirate informatique connu sous le pseudonyme lOlzSec s’est infiltré dans les serveurs de Pearl.fr et en a extirpé une généreuse base de données commerciales par injection SQL.

L’intéressé prétend détenir les informations rattachées à 729 115 comptes d’utilisateurs. En l’occurrence, les adresses postales et électroniques, les numéros de téléphone ou encore les dates de naissance de tous les clients, sans exception.

Il aurait en outre eu accès aux fichiers témoins de quelque 1 115 050 transactions bancaires effectuées sur le site. Le tout était vraisemblablement stocké en clair, sans aucun cryptage, même basique.

Pour affirmer ses velléités, lOlzSec a diffusé partie de ce butin qu’il aurait pu faire fructifier en l’exploitant directement ou en le revendant.

Cela n’a pas été le cas. Les données se sont retrouvées publiées sur la Toile après l’échec de négociations par lesquelles le pirate, revenu sous le couvert d’un message signé de la NullSecurity Team, proposait de se rétracter en échange d’une rançon de 2500 euros.

Quand bien même le ton fataliste de l’appel, doublé d’un ultimatum de 24 heures, prêtait à céder à la tentation, Pearl.fr a proscrit toute conciliation.

Les rouages de la stratégie de lOlzSec étaient pourtant bien huilés. En plus de préciser que la faille était toujours active (les victimes potentielles auront soin de relever tout mouvement suspect sur leur compte bancaire), l’assaillant a fait part de son contrôle total de la situation.

J’ai mis en place des backdoors sur chacun de vos serveurs. Modifier les mots de passe est donc futile, d’autant plus que je dispose d’une sauvegarde complète de votre base de données“, a-t-il déclaré d’un ton injonctif, menaçant en aparté d’opérer un “défacement” du site.

Pearl.fr, qui entend déposer plainte, a délivré à Zataz sa version des faits, moins pessimiste s’il en est : en tout et pour tout, 3700 comptes compromis et aucune donnée bancaire.

Les victimes présumées se sont néanmoins vu adresser un mail et leurs mots de passe ont été immédiatement réinitialisés. Le système de chiffrement des données est renforcé pour l’occasion.

 

 

Crédit image : © VRD – Fotolia.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur