Le site spécialisé Zataz rapporte avoir constaté le piratage du détaillant Pearl.fr. Un pirate, « LolzSec », a ainsi diffusé un extrait de la base de données du site, contenant l’ensemble des données personnelles et des transactions bancaires du service. Il aurait en sa possession 729 115 comptes clients (coordonnées complètes) et 1 115 050 transactions bancaires. Rien de moins.
L’évènement s’aggrave lorsqu’on apprend que les mots de passe des clients étaient stockés en clair. La sécurité désormais classique, qui passe par le chiffrement du mot de passe et son « salage » (introduire des caractères aléatoires), n’a donc pas été mise en oeuvre par le site.
Le pirate indique bientôt mettre en ligne, sous forme de fichier compressé, l’ensemble de cette base de données, après avoir vendu ou exploité les données bancaires des clients. Comme l’indique Zataz, il est recommandé aux clients du site de changer leur mot de passe et d’être attentifs aux mouvements sur leur compte bancaire.
Mise à jour : Pearl.fr a répondu à nos confrères de Zataz, expliquant que la fuite de ces données est la suite d'une demande de rançon de 2 500 euros de "NullSecutiryTeam" formulée mercredi. L'internaute (ou le groupe) attendait une réponse du site sous 24 heures... Le site affirme avoir refusé de payer la somme, menant à la diffusion de l'ensemble des données du site.
Selon la direction, seuls 3 700 comptes seraient concernés, récupérés en deux vagues de comptes datant de 2003 et de comptes récents. Le détaillant affirme avoir fermé son site pendant la nuit pour chiffrer les mots de passe et données bancaires. Il aurait d'ailleurs modifié les mots de passe des clients concernés, qui sont notifiés par courriel. L'entreprise compte déposer plainte.
