Décidément, il n’y a pas une semaine sans qu’une entreprise soit victime de vol de données
StockX la plateforme d’achat et vente de produits streetwear et notamment de baskets a été victime d’un vol de données colossal comme le rapporte TechCrunch. Problème : l’entreprise n’a pas informé les clients et leur a tout simplement demandé de réinitialiser leur mot de passe.

En début de semaine nous apprenions que la banque Capital One a été victime d’un vol de données impactant 100 millions de clients. Plus tôt dans l’année le scandale Equifax avait fait beaucoup de bruit. La société a d’ailleurs reçu une amende de 700 millions de dollars suite à cette faille de sécurité.

Les données déjà vendues sur le Dark Net…

Du côté de StockX, plusieurs utilisateurs ont reçu un mail demandant de mettre à jour leur mot de passe suite à des « mises à jour du système. » Un fait étonnant et qui surtout n’expliquait pas aux clients que l’entreprise a identifié « une activité suspecte. » Certains utilisateurs ont d’ailleurs pensé qu’il s’agissait d’une tentative d’hameçonnage.

Un hackeur a contacté TechCrunch pour revendiquer le vol de données et expliqué qu’il disposait de « plus de 6,8 millions d’enregistrements volés sur le site en mai. » Il a précisé qu’il mettrait en vente les données prochainement. Ces dernières sont au moment de l’écriture de l’article, déjà en vente comme on peut le voir ci-dessous et il y aurait déjà eu un acheteur.

Les conséquences risquent d’être importantes pour StockX

Pour confirmer la véracité de ses propos, un échantillon de 1 000 enregistrements a été envoyé à TechCrunch. Les données envoyées sont vraies et correspondent bien à des clients de StockX, dont un employé de TechCrunch. Les données volées contiennent des noms, des adresses mail et d’autres informations liées au profil des utilisateurs comme leur pointure ou encore l’OS du téléphone.

Cette annonce risque de compliquer la défense de StockX qui pour le moment n’a rien assumé et a préféré dissimulé la vérité. La société va très probablement faire face à de nombreuses plaintes et devra payer une amende. On attend donc que StockX communique officiellement sur ce vol de données et préviennent ses utilisateurs.

EDIT : StockX a publié un communiqué sur son site. L’entreprise explique « StockX se soucie profondément de la vie privée de ses clients. Ces derniers jours, notre société a découvert un problème de sécurité des données, et nous voulons vous fournir une mise à jour sur cette situation. »
« Nous avons été alertés d’une activité suspecte impliquant potentiellement des données clients. Dès que nous avons été mis au courant de l’activité suspecte, nous avons immédiatement lancé une enquête. »
« Les preuves à ce jour suggèrent qu’une tierce partie inconnue a pu avoir accès à certaines données sur les clients, y compris le nom du client, son adresse électronique, son adresse de livraison, son nom d’utilisateur, ses mots de passe hachés et son historique des achats. D’après notre enquête à ce jour, rien n’indique que les informations financières ou les informations de paiements aient été touchées. »
« Nous avons immédiatement apporté des changements à l’infrastructure afin d’atténuer et de traiter tout effet potentiel de l’activité suspecte. Ces changements à l’infrastructure comprenaient : 
• une mise à jour de la sécurité à l’échelle du système ;
• une réinitialisation complète du mot de passe de tous les mots de passe des clients avec un courriel les avertissant de la réinitialisation de leur mot de passe« .

Pour finir StockX ajoute « encore une fois, nous prenons la sécurité et la confidentialité des données très au sérieux et nous continuerons à communiquer avec nos clients et à travailler dur pour protéger ceux qui nous font confiance pour leur expérience d’achat. »