Le Parisien révèle que des centaines utilisateurs du site de vente en ligne de vêtement de seconde main Vintend ont été victimes d’un piratage de leurs comptes. Leurs porte-monnaie électroniques ont été vidés.
Sur le forum de l’entreprise, des dizaines de messages évoquent ces attaques. « Avec vous régler le problème moi ils m'ont piraté presque 800 euros que puis je faire ? » peut-on lire, ou encore : « je viens d'être piraté je sais pas comment faire L’IBAN n'est pas celui de mon compte » ; « Ils ont vidé mon portefeuille, plus de 200€…Impossible de changer le mail et le numéro de téléphone qui ont été modifiés. J’ai écrit à Vinted sur l’adresse légale... », écrit une autre utilisatrice.
Afin d’empêcher les victimes de changer le mot de passe piraté ou de remplacer le RIB des hackeurs, des pirates n'ont pas hésité à bloquer des comptes en publiant des contenus pornographiques juste après avoir siphonné les cagnottes. Contacté par Le Parisien, Vinted a indiqué que les victimes seraient indemnisées. L’entreprise a également précisé être en contact avec « les membres concernés », afin de rétablir leurs accès. Vinted ajoute que « les informations de connexion utilisées (identifiants, mots de passe, …) ont été obtenues à partir de données consultées ailleurs en dehors de la plateforme et non liées à Vinted ».
Un crime venu d’ailleurs
Pour piéger leurs cibles, les hackeurs ont eu recours à plusieurs méthodes. Les utilisateurs ont parfois reçu un appel ou un SMS de phishing demandant un code à quatre chiffres afin de modifier leurs coordonnées ou de valider un virement. Dans d’autres cas, les accès ont été récupérés via de précédents piratages.
Damien Bancal, fondateur de Zataz, un site d’information traitant de la cybercriminalité, décrit dans un poste la méthode employée par les pirates. « Tout d’abord, ils récupèrent des millions d’adresses électroniques », utilisées pour envoyer des emails de phishing afin de récupérer des identifiants de connexion en utilisant de faux sites web imitant Vinted. Simple comme bonjour.
Une fois ces précieuses informations subtilisées, « les pirates les fusionnent avec d’autres paquets d’identifiants. Pour cela, ils achètent ou trouvent des combos sur le marché noir, des fichiers texte pouvant contenir des centaines de millions d’identifiants de connexion. » Une fois la collecte effectuée, ils testent les accès possibles à Vinted et d’autres sites web. « Le pirate espère que ses victimes utilisent le même email et le même mot de passe sur plusieurs sites. »