La société de commerce électronique affirme n’avoir aucune preuve d’une faille de sécurité dans ses systèmes, mais elle a détecté qu’un tiers aurait pu utiliser des adresses e-mail et des mots de passe obtenus à partir de fuites ailleurs.
Le détaillant espagnol d’électronique en ligne PcComponentes a démenti les allégations d’un pirate informatique selon lesquelles il aurait volé des données sur ses clients.
Hackrisk.io, une plateforme stratégique de renseignement sur les cybermenaces développée et maintenue par Hackmanac, a rapporté qu’un acteur malveillant utilisant le pseudonyme « daghetiaw » a affirmé avoir piraté la société de commerce électronique, ajoutant qu’il tentait de vérifier cette affirmation.
Selon Hackrisk.io, le pirate informatique aurait volé des données relatives à 16,3 millions de personnes, notamment des numéros d’identification fiscale, des commandes, des factures, des adresses, des coordonnées, des tickets Zendesk, des métadonnées de carte de crédit, des adresses IP et des informations d’achat. La plateforme note que le pirate a partagé un échantillon de 500 000 lignes comme preuve du vol de données auprès de PcComponentes.
« Ce que nous avons détecté est un phénomène connu en cybersécurité sous le nom de credential stuffing. Cela signifie qu’un tiers a utilisé des adresses e-mail et des mots de passe obtenus à partir de failles de sécurité dans des bases de données compromises en dehors de PcComponentes », indique le communiqué, ajoutant : « Les catégories de données concernées sont : le nom, le prénom, le numéro d’identification (dans les cas où le client l’a saisi), l’adresse, l’adresse IP, l’e-mail et le numéro de téléphone. »
PcComponentes a déclaré : « Le chiffre de 16 millions de clients prétendument concernés est faux, car le nombre de comptes actifs sur PcComponentes est nettement inférieur. De plus, l’accès illégitime n’a pas été généralisé, ce qui signifie que seuls certains clients ont été concernés. »
Il a également expliqué que les coordonnées bancaires n’ont en aucun cas été compromises, « puisque PcComponentes ne les stocke pas, mais conserve seulement un code de sécurité () qui est utilisé pour identifier le paiement, mais ne permet pas de visualiser la carte ni d’effectuer des frais. Ce code n’a aucune valeur en dehors du système de paiement et ne peut pas être utilisé frauduleusement. Pour cette raison, il n’y a aucun risque de vol des coordonnées bancaires » ; Les mots de passe des clients ne le sont pas non plus, car « ils ne sont jamais stockés dans notre base de données. Au lieu de cela, ils sont convertis en un code secret et crypté (). Ce code est irréversible, ce qui signifie que ni nous ni personne d’autre ne pouvons voir le mot de passe d’origine ».
Enfin, PcComponentes rapporte avoir mis en œuvre une série de mesures visant à minimiser l’impact de cet incident, qui « renforcent considérablement la protection des comptes et réduisent le risque d’accès illégitime à partir de bases de données compromises en dehors de PcComponentes et publiées sur Internet ».
