Les données personnelles piratées d’environ 90 000 clients allemands de Mastercard ont été publiées cette semaine sur un forum en ligne, dont des numéros de cartes de crédit, a rapporté la presse allemande, poussant Mastercard à suspendre jeudi la plateforme partenaire incriminée.
« Entre autres choses, nous avons immédiatement suspendu la plateforme « Priceless Specials » après avoir pris connaissance de l’incident« , a déclaré le fournisseur de services financiers dans un communiqué, précisant « mettre tout en œuvre pour rechercher et résoudre les problèmes liés » à son partenaire. »Priceless Specials » est un programme de fidélité, qui permet aux détenteurs de cartes Mastercard d’accéder à des bonus et réductions sur d’autres services (location de voiture, sorties, etc).
Le journal Manager Magazin avait signalé la fuite, alerté par un entrepreneur du web allemand au sujet de la publication sur un forum internet d’un fichier contenant des adresses, numéros de téléphone, noms et numéros de cartes bancaires d’environ 90 000 abonnés à ce service en Allemagne. Le journal avait alors précisé que les numéros des cartes étaient valides. Ni la presse, ni Mastercard Allemagne n’a révélé l’identité ou le but recherché par ces pirates.
Des utilisateurs avaient remarqué des « irrégularités » depuis quelques semaines…
Cependant il semble que des utilisateurs s’étaient plaints sur les forums en ligne depuis quelques semaines, avant la révélation officelle de la fuite, constatant l’utilisation de coupons de réduction par des tiers inconnus, ou encore la vente sur eBay de bons de bonus à des tarifs très inférieurs à leur valeur, ainsi que l’a rapporté la newsletter allemande sur le secteur bancaire Finanz-Szene.de. « Mastercard Priceless Specials a-t-il été piraté? Ou comment ma prime, un bon TUI, pourrait-elle être partiellement utilisée par un inconnu? « , se plaignait le 29 juillet un utilisateur sur Twitter par exemple.
Le même utilisateur se plaignait d’ailleurs de nouveau le 19 août auprès de Mastercard : « Pourquoi vous et vos employés avez ignoré les allusions concernant un éventuel piratage? De nombreuses personnes et moi-même vous l’avions déjà signalé le 29 juillet 2019. Je n’ai jamais reçu de réponse (par courrier ou autre). »
Mastercard, qui a fait un premier communiqué de presse très succinct le 19 août sur son site, indiquant avoir fermé la plateforme Priceless Specials, a également contacté via courrier électronique les clients concernés par ce piratage. Il indiquait alors dans son message que les informations suivantes étaient concernées par le piratage : « nom, date de naissance, sexe, adresse postale, adresse électronique, numéro de téléphone et éventuellement votre numéro de carte de paiement que vous avez utilisé pour vous inscrire au programme. Ni vos identifiants ni vos mots de passe n’ont été divulgués. La date d’expiration et le numéro de vérification (CVC) de votre carte de paiement n’ont pas été divulgués. » Certes, il est plus compliqué d’utiliser le numéro de carte sans le code de vérification qui va avec, mais les autres données personnelles récoltées peuvent aussi servir à des fins crapuleuses, comme du phishing notamment, et du vol d’identité. Mastercar a d’ailleurs proposé aux clients touchés de bénéficier d’un service de prévention du vol d’identité pendant un an.
Ce vol intervient un mois et demi après le piratage des données personnelles de 106 millions des clients américains et canadiens de la banque américaine Capital One Financial. La responsable de cette opération, une hackeuse américaine, avait été arrêtée moins de deux semaines après la découverte de la brèche.
Auteur : Juliette Paoli avec AFP
