La France vient d’entrer dans le Guiness de Dataloss.db et de ses successeurs, rapportent nos confrères de Bleeping Computer. Les systèmes de la société Parisienne de réservation d’Hotels Fastbooking ont été violés le 14 juin, intrusion découverte 6 jours plus tard (la fenêtre de vulnérabilité était donc relativement étroite).
Durant ce laps de temps, « plusieurs centaines » de comptes clients (nom, nationalité, adresses physique, email et dates de séjour) ont été récupérés. Dans certains cas, précisent nos confrères, ce vol porterait également sur les données bancaires (nom, numéro de compte, date d’expiration). Nulle information ne transpire concernant les conditions de stockage, de chiffrement et de salage des informations en question. L’antenne communication répond « Pour des raisons de sécurité, nous ne pouvons communiquer les détails de notre méthode de cryptage , mais nous pouvons néanmoins vous confirmer que toutes les données de carte (y compris nom, date d’expiration) étaient cryptées ». Ce qui ne répond pas à la question du salage.
Concernant la volumétrie, les seuls chiffres communiqués portent sur les réservations des hôtels au Japon (380 établissements). Fastbooking travaille dans toute la zone Asie-Pacifique et Moyen Orient et ne cible principalement que des hôtels de luxe : la revente de ces identités sur le marché noir risque de faire quelques heureux.
Aux questions plus précises portant sur les actions en cours, un porte-parole de Fastbooking précise que« Nous avons en effet contacté l’ensemble des hôtels dont les données ont été piratées pour les informer et les assister dans les mesures à prendre »…. « Nous avons mandaté une équipe de PCI Forensic Investigators pour procéder aux analyses des éléments techniques [relatifs à l’attaque] »… « une plainte a été déposée auprès de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) et les organismes de paiement ont été contactés afin qu’ils mettent en œuvre les mesures de protection nécessaires des porteurs de cartes. ».
A la question : « avez-vous prévenu directement chacune des victimes potentielles ? Aucune réponse précise n’a encore été donnée …