Pour se venger de la communication obscure du responsable informatique de la boutique de lingerie Zivame, un hacker malveillant diffuse les données clients volées.

Pour se venger de la communication obscure du responsable informatique de la boutique de lingerie Zivame, un hacker malveillant diffuse les données clients volées.

Les pirates informatiques du groupe Shadow Hacker ont encore frappé. Après avoir exploité des données appartenant à Linkedin et à Rentomojo, un géant de la vente automobile en Inde, les malfaiteurs se sont attaqués à la boutique de lingerie Zivame.

Avec plus de 1,5 million de clientes, l'entreprise se retrouve avec les données internes de son site web entre les mains des pirates informatiques. L'histoire aurait pu s'arrêter là, tant les intrusions et le vol d'informations sensibles sont devenus monnaie courante. Cependant, dans le cas de Zivame, les pirates ont voulu se venger du responsable informatique de l'entreprise.

"J'ai découvert une vulnérabilité sur Zivame.com et je l'ai signalée par e-mail à security@zivame.com", explique le pirate. "Je leur ai également demandé une prime. X [le responsable informatique] m'a contacté et nous avons commencé à négocier."

Selon le pirate, l'informaticien a voulu traiter l'affaire sans en informer officiellement sa direction. "Ce manque d'implication officielle est la principale raison de cette violation"a pu lire le Service Veille ZATAZ. "Nous sommes convenus d'un accord pour 1500 $. J'ai corrigé la faille avec lui." Le pirate semble avoir trouvé une deuxième faille qu'il a souhaité "vendre" à Zivame.

Comme le responsable informatique n'a pas répondu, le pirate s'est vengé !

Cet exemple démontre que la mise en place d'un programme de récompenses pour la découverte de failles (bug bounty) clair, avec des limites précises, peut permettre d'éviter ce genre de comportements, tant du côté des "inventeurs" que des responsables informatiques. Cependant, soyons honnêtes, un pirate ne participera pas à un programme de récompenses pour la découverte de failles !

Pour être alerté de ce type de fuite de données et pouvoir prendre de vitesse les malveillants, le Service Veille ZATAZ pourra vous rassurer et, au besoin, vous alerter.