Des données personnelles et financières sensibles ont été exposées en ligne à cause d’un bucket AWS S3 mal sécurisé, contenant 5 millions de cartes de crédit américaines. Les cybercriminels ont utilisé de fausses offres attrayantes pour collecter des informations sans hacking. Il est conseillé de surveiller ses relevés bancaires, de changer ses mots de passe et d’activer des alertes de fraude. La sensibilisation aux arnaques et l’utilisation de vérificateurs de fuite de données sont également recommandées pour se protéger.
Les données personnelles et financières qui circulent en ligne ne proviennent pas toutes de violations de sécurité orchestrées par des hackers. Il existe des incidents où des informations sensibles sont compromises simplement à cause d’un manque de précautions, comme une base de données laissée sans protection adéquate.
Récemment, l’équipe de sécurité de LEAKD a découvert que 5 millions de données de cartes de crédit américaines et d’autres informations sensibles étaient accessibles dans un bucket AWS S3, exposé à tous sur Internet. Un bucket S3, semblable à un espace de stockage cloud, est souvent utilisé par les entreprises pour conserver leurs données clients.
Bien que l’identité de l’auteur de cette fuite demeure inconnue, les éléments observés par LEAKD laissent penser qu’il pourrait s’agir d’une opération de phishing. D’ordinaire, ces données volées restent en possession des hackers, mais l’absence de protection par mot de passe a permis à quiconque ayant les compétences requises d’accéder à ces informations sensibles.
Attention aux fausses offres alléchantes
Une méthode courante utilisée par les hackers pour inciter les victimes potentielles à divulguer leurs données personnelles et financières est de recourir à des faux concours et à des offres trop alléchantes. Bien que beaucoup puissent identifier ces arnaques, certains pourraient y céder par curiosité, une démarche que je déconseille vivement.
Dans ce cas précis, des offres d’iPhone gratuits ou de vacances à prix réduits ont servi d’appât. Étonnamment, le bucket S3 concerné contenait 5 To de captures d’écran, ce qui indique que bien plus de personnes que l’on pourrait imaginer sont tombées dans le piège.
En incitant les victimes à remplir un formulaire en ligne, les cybercriminels ont pu recueillir des informations telles que noms, adresses de facturation, adresses e-mail, numéros de téléphone et détails de cartes de crédit, et ce, sans recourir à des techniques de hacking ou à des malwares.
Outre l’utilisation de ces données pour commettre des fraudes ou des vols d’identité, elles peuvent également être revendues sur le dark web pour alimenter d’autres attaques. Selon LEAKD, les informations d’une carte de crédit américaine se vendent généralement autour de 17 $ en ligne. Étant donné que cette fuite contient environ 5 millions de cartes de crédit et de débit américaines, la valeur totale de ces données pourrait dépasser les 85 millions de dollars.
Protégez-vous après une fuite de données
Si vous pensez que vous ou une personne de votre entourage — comme un adolescent ou un parent âgé — avez été victime de l’une de ces fausses offres, il est crucial d’agir rapidement.
Commencez par surveiller vos relevés de carte de crédit et autres documents financiers pour déceler toute activité suspecte ou frauduleuse. Si vous remarquez quelque chose d’inhabituel, contactez immédiatement votre banque pour qu’elle bloque les cartes concernées. Il est également judicieux d’établir des alertes de fraude auprès de votre banque ou de votre fournisseur de carte de crédit.
Ensuite, changez les mots de passe de tous les comptes touchés et activez l’authentification multi-facteurs si ce n’est pas déjà fait. Vous pouvez également envisager de mettre en place un gel de crédit pour empêcher l’ouverture de nouveaux comptes à votre nom.
Investir dans un service de protection contre le vol d’identité peut être une excellente décision, surtout si des adolescents ou d’autres membres de votre famille ne sont pas familiarisés avec les bonnes pratiques de sécurité en ligne. Ces services peuvent vous aider à récupérer votre identité après un incident et à limiter les pertes financières dues à la fraude.
Restez vigilant face aux tentatives de phishing qui pourraient chercher à extraire davantage d’informations personnelles. Avec votre nom complet, numéro de téléphone, adresse physique et e-mail, vous pourriez recevoir des messages frauduleux par divers canaux. Soyez donc prudent lors de l’ouverture de messages non sollicités, que ce soit en ligne ou dans la vie réelle.
Pour vérifier si vos informations personnelles ont été compromises, utilisez un vérificateur de fuite de données. Des services comme HaveIBeenPwned ou d’autres entreprises de cybersécurité permettent d’entrer votre adresse e-mail pour savoir si elle a été exposée en ligne.
Les escroqueries liées à des offres de cadeaux gratuits ou à des réductions importantes durant les périodes de fête ne sont pas nouvelles. Si ce n’est pas déjà fait, il est essentiel de sensibiliser votre famille aux moyens de repérer une arnaque en ligne avant qu’il ne soit trop tard.
Plus d’articles sur la cybersécurité
- Les hackers se déguisent en recruteurs pour propager un dangereux trojan bancaire.
- Des millions de données volées aux utilisateurs de LastPass lors d’une attaque massive.
- Des centaines de milliers de patients ont vu leurs informations médicales compromises.