Le site Web Have I Been Pwned, qui nous permet de vérifier si notre adresse e-mail ou notre numéro de téléphone est en violation de données, a ajouté ce matin la base de données filtrée de Phone House, avec un total de 5223350 comptes concernés, bien plus de 1 ou 3 millions de comptes qui ont été discutés au début, où les hackers eux-mêmes avaient dit qu’ils n’avaient piraté « que » 3 millions. Le plus triste est que ce n’est que la première partie de la fuite, donc il y aura au moins plus de comptes affectés.

La fuite comprend pratiquement toutes les données personnelles

L’attaque a eu lieu au moyen de la Rançongiciel Babuk, créé par le groupe homonyme et qui a crypté toutes les données de l’entreprise. Dans ce processus, ils ont obtenu toutes les informations des clients et des employés de l’entreprise. Les attaquants ont affirmé avoir réussi à télécharger 10 bases de données Oracle contenant toutes les données complètes que le RPGD demandes à collecter.

Parmi ces données, nous trouvons nom complet, pièce d’identité, date de naissance, e-mail, compte bancaire, numéro de téléphone, sexe, nationalité et adresse physique, avec rue, ville et province. Des échantillons de la base de données confirmant la fuite ont été publiés sur le blog de Babuk sur le Dark Web, y compris des exemples de photos et le lien de téléchargement.

Compte tenu de la taille importante de Phone House en Espagne, une partie importante de la population a été touchée par cet échec. En plus de vos clients directs, les clients qui ont souscrit votre prestation d’assurance via un sous-traitant figurent également dans la base de données.

Phone House n’a pas encore commenté l’attaque

Phone House a reçu une menace dans laquelle, s’ils ne payaient pas la rançon, les données finiraient par être publiées sur le réseau. La société n’a pas payé et, par conséquent, ils ont été divulgués. La société n’a pas encore fait de communication à ce sujet et aurait déjà dû communiquer au Agence espagnole de protection des données (AEPD) filtration, comme la loi les oblige à le faire dans moins de 72 heures. En outre, ils doivent également le communiquer aux utilisateurs concernés et ne pas avoir à recourir à des services tels que Have I Been Pwned.

Dans mon cas, mes données ont été divulguées parce que j’ai eu l’heureuse idée de vendre un téléphone portable dans l’un de leurs magasins, de devoir remplir les données via Internet. Je n’ai même pas pu créer de compte, mais il semble que cela ne leur ait pas suffi pour collecter mes données et se sont retrouvés dans la fuite. Curieusement, j’avais un autre compte enregistré avec un e-mail dans lequel je n’ai ajouté que mon nom, et cet e-mail ne fait pas partie de la violation de données.

Par conséquent, si vous souhaitez vérifier si vous êtes concerné, il vous suffit de vous rendre sur https://haveibeenpwned.com/ et de mettre votre email. Troy Hunt, qui dirige le site Web, n’a pas encore dit s’il ajoutera les numéros de téléphone pour les vérifier, comme il l’a fait avec Facebook. Étant donné que les numéros sont classés, il ne serait pas inhabituel que vous les ajoutiez plus tard. Selon lui, 58% des emails de la fuite étaient déjà présents sur Have I Been Pwned.