Trois cent mille données de clients Belfius sont proposées sur un forum de fuites d’informations. Dans le cas de certains clients, leur adresse et leur numéro de téléphone se trouvent déjà en ligne.
Le pirate en question propose tant les données de huit cent mille clients d’une banque espagnole que celles de trois cent mille clients d’une banque belge. Sur la base de données de test révélées par le hacker, Data News a pu en conclure qu’il s’agissait de clients de Belfius.
Des adresses, mais pas des soldes de compte
Cet ensemble de données comprend notamment les prénoms et noms des clients, leur adresse complète, leur(s) numéro(s) de téléphone, leur date de naissance, leur numéro de compte et leur IBAN. Les données de test contiennent plusieurs enregistrements en double, ce qui donne à penser que le nombre de clients réellement touchés pourrait être un peu inférieur. La liste ne comprend aucun détail financier tel des soldes de compte ou des transactions.
On ne dispose guère de détails sur l’origine des données. L’auteur affirme qu’elles proviennent de centres d’appels et qu’il s’agit de données de cette année, qui n’ont pas encore été diffusées. On ignore dès lors vraiment si la fuite a été provoquée par un centre d’appels (externe) de Belfius ou si elle est due à un autre acteur qui a à son tour pris contact avec des clients de Belfius.
Il n’en reste pas moins que ce sont là des données sensibles, parce que des éléments comme des numéros de compte, des adresses ou des numéros de téléphone, cela ne se change pas fréquemment. Tout acquéreur de ces données pourrait par exemple usurper l’identité de la banque et arnaquer par téléphone ou par des mails d’hameçonnage (‘phishing’) les personnes, dont les données ont pris la clé des champs. L’acheteur pourrait également se faire assez aisément passer pour l’une des victimes, afin de commettre d’autres fraudes identitaires.
Mise à jour 27/12
Le pirate éthique Inti De Ceukelaire a découvert que les données ne se limitaient pas à Belfius. Il s’agit notamment d’informations provenant également d’ING. Outre ces trois cent mille données, il y aurait encore cent mille données qui auraient fuité comme informations incomplètes.
De Ceukelaire a découvert grâce à sa propre enquête que les données auraient fuité via un collaborateur interne d’un centre d’appels turc ou kosovar. Mais, élément plus important encore, l’accès à ces données est toujours possible. Cela signifie que les informations auraient pu être copiées par des tiers qui risquent de les détourner. Pour autant que l’on sache, ces données ne peuvent être accédées de l’extérieur. Plus tard dans la soirée, le post en question a été effacé. Entre-temps, tant Belfius qu’ING ont fait savoir que la fuite de données n’émanait pas de chez eux.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici