Free : Les données personnelles de 14 millions de clients sont en vente sur un forum de hackers
CYBERSÉCURITÉ Le pirate souhaite vendre une copie des données volées à une seule et unique personne pour plusieurs centaines de dollars
Les données personnelles de 14 millions de clients de Free sont en vente sur le dark Web. Un hacker a réussi à pénétrer une base de données de l’opérateur mobile, à récupérer les informations et à les mettre en vente sur un forum clandestin, rapporte le média spécialisé dans la cybercriminalité Zataz.
La base contiendrait des données sensibles comme les noms, adresses e-mail, numéros de téléphone et adresses postales des clients visés. Le hacker à l’origine du vol ne vend qu’une copie de ce fichier pour en conserver également un exemplaire. Il a précisé sur le forum qu’il ne vendrait les données qu’à une seule personne contre plusieurs centaines de dollars.
Des données anciennes ?
Le pirate exige en outre un paiement en Monero. Il s’agit d’une cryptomonnaie qui permet de réaliser des transactions anonymes ne dévoilant pas publiquement l’identité du vendeur ou de l’acheteur, ainsi que le montant. Pour comparaison, toutes les transactions réalisées en Bitcoin sont publiques.
Pour prouver son sérieux, le hacker a également publié une partie des données volées. Cet extrait ne regroupe les informations que de clients résidant dans deux arrondissements de Paris. Contactées par Zataz, certaines personnes concernées ont expliqué qu’elles avaient déménagé ou n’étaient plus clientes de Free… depuis des années maintenant.
Des risques multiples
Les données pourraient donc être anciennes. Malgré tout, ce vol présente un risque important pour les clients. Entre les mains d’un escroc, elles peuvent aider à concevoir une campagne de phishing (hameçonnage) destiné à dérober de l’argent. Plus les malfaiteurs disposent d’informations personnelles sur leurs victimes, plus ils sont convaincants dans leurs approches.
Pire : ces données peuvent être utilisées dans des attaques par force brute, précise 01net. Pour ce faire, le cybercriminel n’a besoin que d’une adresse mail et de quelques heures, voire quelques minutes. Ce type d’attaque consiste à concevoir un algorithme qui déchiffrera seul le mot de passe d’un compte mail.