Des hackers sont parvenus à récupérer les données de 20 000 clients du site de seconde main de Kiabi «Seconde Main by Kiabi». Voici tout ce qu’il faut savoir sur cette fuite de données qui touche l’enseigne.
Une cyberattaque datant du 7 janvier
Les événements remontent donc à la semaine dernière, lorsque les équipes de l’entreprise ont détecté cette offensive par “credential stuffing”. « Ce type d’attaque particulier utilise les identifiants issus de fuites de données d’autres sites web pour tenter d’accéder aux comptes clients visés », précise Kiabi.
Dans le détail, les pirates sont parvenus à récupérer les noms, prénoms, dates de naissance, et coordonnées de ces 20 000 clients, et leur IBAN s’ils l’avaient mentionné. Les RIB ne sont quant à eux pas concernés. Kiabi explique avoir ajouté « une fonctionnalité de masquage des IBAN » une fois l’attaque constatée. Enfin les mots de passe ont été réinitialisés.
Pour savoir si vous êtes concernés, vous n’avez aucune démarche à effectuer. En effet, comme la loi française le stipule, les victimes de cette cyberattaque ont été informés par Kiabi. Si tel n’est pas le cas, vous ne risquez rien.
Qu’est-ce que le “credential stuffing” ?
L’utilisation de cette méthode à des fins de piratage n’est malheureusement pas très surprenante. Nous vous parlions d’ailleurs récemment du “credential stuffing”. Ainsi, les acteurs malveillants vont utiliser des identifiants (noms d’utilisateurs, adresses e-mail, mots de passe…) qui ont été précédemment volés sur un service. Il faut dire que de nombreux utilisateurs reproduisent les mêmes mots de passe sur différentes plateformes, de sorte que cette technique s’avère souvent rentable.
Benoit Grunemwald, le directeur des affaires publiques d’ESET France, expliquait à nos confrères de 01Net :
Après une fuite de données, les cybercriminels récupèrent des milliers d’emails et utilisent des programmes automatisés pour les tester sur de multiples sites. Un mot de passe unique réutilisé devient une porte dérobée donnant accès à l’ensemble de votre vie numérique, surtout si cet accès ouvre votre messagerie. Il devient alors possible de réinitialiser des mots de passe aisément.
Plus d’informations à ce sujet dans notre précédent article ici.
Ce qu’il faut retenir :
- Kiabi a été victime d’une cyberattaque sur son site «Seconde Main by Kiabi»
- Les données de 20 000 clients sont concernées : noms, prénoms, dates de naissance, coordonnées et IBAN
- Les personnes touchées ont toutes été prévenues par l’enseigne
- Le “credential stuffing” est une méthode de plus en plus utilisée par les hackers pour passer à l’action
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
