Dell a envoyé un courriel à ses clients et partenaires pour les alerter d'une violation de données. (Crédit Photo: jjpwiki/Wikipedia)
Un cybercriminel a revendiqué une violation de données chez Dell et la vente d'un paquet comprenant les informations de 49 millions de clients. Pour accéder à ces informations, il a utilisé l'API d'un portail de partenaires en se faisant passer pour une entreprise.
En fin de semaine dernière, Dell Technologies a envoyé un courriel indiquant « nous enquêtons actuellement sur un incident impliquant un portail Dell, qui contient une base de données avec des types limités d'informations sur les clients liés aux achats ». Cet envoi fait suite à la publication sur Breach Forum d'un message d'un certain Menelik revendiquant une violation de données de Dell avec à la clé la vente de 49 millions de données clients (grand public et entreprise).
L'archive comprend des informations sur les clients (de PC portables) avec des champs non financiers tels que la ville, le nom complet, l'adresse, la province, le code postal, le plan de garantie, le nom de l'entreprise, le numéro de commande, le numéro de client, la date d'expédition du système (date de commande) et le numéro de service unique à 7 chiffres du système.
Un accès via un portail partenaires
Le cybercriminel, dont le message a été effacé depuis, a été contacté par nos confrères de Bleepingcomputer. Il a donné des détails sur sa méthode pour dérober les données clients. Pour cela, il a découvert un portail pour les partenaires, les revendeurs et les détaillants qui pouvait être utilisé pour consulter les informations relatives aux commandes. Menelik explique qu'il a pu accéder au portail en enregistrant plusieurs comptes sous de faux noms de société et qu'il a été validé en deux jours sans vérification. Une fois dans la place, il a généré des requêtes (5 000 par minute pendant 3 semaines) pour collecter les informations sans limitation. Au total, il a récupéré 49 millions d'enregistrement.
Dell Technologies se veut néanmoins rassurant en soulignant dans son courriel que « les informations concernées ne comprennent pas les données financières ou de paiement, l'adresse électronique, le numéro de téléphone ou toute autre information client hautement sensible ». Reste que les informations subtilisées peuvent être récupérées pour l'établissement de profils par des sociétés de marketing et par des concurrents ou dans le cadre de campagne de phishing.
Suivez-nous