Les choses se compliquent du côté de PcComponentes. Comme nous vous le disions récemment, le marchand espagnol a été victime d’un piratage, mais la société publie un communiqué de presse et tente une pirouette en espérant faire passer la sauce. Sauf que, le communiqué se prend les pieds dans le tapis en faisant du « en même temps ». Cela a le don d’énerver le pirate qui remet une cartouche !
PcComponentes se défend (comme il peut) :
Suite à la médiatisation de cette affaire, la boutique espagnole se défend. Effectivement, dans son communiqué, elle indique qu’« aucun accès illégitime à sa base de données ni à son système interne n’a eu lieu » pour, littéralement affirmer la ligne d’en dessous que « l’accès illégitime n’a pas été massif » et que « certains clients ont été affectés » via une attaque de type credential stuffing. Petite précision, il s’agit d’une pratique qui consiste à tenter de se connecter sur différents sites/services avec des mails/mots de passe volés et repartagés sur d’autres forums pour ensuite extraire les données enregistrées lorsque la connexion est réussie.
Un peu plus loin, la société indique que le pirate n’a pas eu accès à 16 millions de comptes et que cette information est fausse puisque le commerçant ne dispose pas d’autant de comptes actifs sur son site. Ensuite, les données bancaires n’ont pas été compromises, seuls les codes de sécurité servant à identifier les paiements ont pu être récupérés par le hacker. La boutique ne conservant pas les données bancaires sur son site. Quant aux mots de passe, ces derniers n’apparaissent pas en clair, seules les valeurs hashées le sont. Mais la société indique bien que les noms/prénom, DNI (si renseigné), numéros de téléphone, adresses IP, adresses mail ont bien fuité.
Bref, PcComponentes reconnaît des fuites de données via une communication qui tente de faire croire le contraire. D’ailleurs, pour se protéger de ces pratiques, des mesures de sécurité supplémentaires ont été implantées en urgence sur le site. On parle ici d’authentification à deux facteurs, d’un système de CAPTCHA et d’un mécanisme d’invalidation des sessions actives.
Ces agissements énervent daghetiaw !
De son côté, daghetiaw (auteur de la fuite) réagit suite à la publication du communiqué de la marque. Il indique purement et simplement que la boutique ment outrageusement à ses clients et qu’il a eu accès, en plus des données utilisateurs à des informations bien plus sensibles. On parle ici d’accès aux systèmes internes à l’entreprise comme des identifiants, des mails et des mots de passe d’employés. Idem, les accès aux panneaux d’administration ont été compromis tout comme à des systèmes RH et de pointage. Les données de logistique ou du support sont également concernées. Pour le prouver, il publie des mots de passe et des adresses mail internes (que nous ne vous partageons pas ici pour des raisons évidentes). Ces affirmations semblent invalider le piratage par credential stuffing avancé précédemment. Il faut bien évidemment être prudent sur les déclarations du pirate…
Bref, une sale affaire pour la boutique qui risque des conséquences juridiques. Les régulateurs risquent de leur tomber sur le râble, on parle de l’AEPD en Espagne et peut-être d’autres organismes puisque, rappelons-le, PcComponentes disposant de sites étrangers, dont le français. Encore une fois, nous suivons toute cette affaire.
