DES HACKERS COMPROMETTENT LES COMPTES DES UTILISATEURS DU REGISTRE ZOLA

Posté le mai 24, 2022 à 10:06

DES HACKERS COMPROMETTENT LES COMPTES DES UTILISATEURS DU REGISTRE ZOLA

Le site Web populaire d’organisation de mariages Zola est devenu la plus récente victime d’un piratage informatique. L’entreprise a révélé qu’elle était consciente que certaines commandes de cartes-cadeaux non autorisées étaient proposées en ligne, mais affirme que les transferts d’argent ont été bloqués.

La plateforme propose des cartes-cadeaux en ligne pour la gestion de la liste des invités, ainsi que des sites web de mariage. Elle a confirmé que les acteurs de menaces ont réussi à accéder aux comptes de certains de ses utilisateurs et ont tenté d’initier des transferts de fonds frauduleux.

Certains utilisateurs de Zola publiaient sur les médias sociaux que leurs comptes bancaires liés avaient été utilisés pour acheter des cartes-cadeaux. L’un des tweets d’un utilisateur de Reddit montrait un compte Zola craqué vendu sur le darknet, qui sert à acheter des chèques-cadeaux.

Les hackers ont accédé aux comptes grâce au « Credential Stuffing » (bourrage d’identifiant)

La directrice de la communication de Zola, Emily Forrest, a déclaré que les hackers ont accédé aux comptes par une attaque de type « credential stuffing ». Les acteurs de la menace ont essayé plusieurs combinaisons d’e-mails et de mots de passe qu’ils ont volées lors de violations sur d’autres plateformes. Elle ajoute que les hackers ont réussi à pirater certains comptes, en particulier ceux qui partagent les mêmes détails de compte sur plusieurs sites web. Une fois le compte de la cible compromis sur l’autre site, les attaquants s’en sont servis pour entrer dans les comptes des utilisateurs touchés sur la plateforme Zola.

« Nous comprenons les perturbations et le stress que cela a causé à certains de nos couples », a-t-elle déclaré. Mme Forrest a ajouté que les hackers n’ont pas réussi car toutes les tentatives de transfert de fonds frauduleux ont été bloquées. Les informations bancaires et les cartes de crédit n’ont pas été exposées et les détails des personnes continueront à être protégés, a-t-elle ajouté.

Des commandes de cartes-cadeaux frauduleuses circulent toujours
Mme Forrest a également déclaré que l’entreprise sait qu’il existe des commandes de cartes-cadeaux frauduleuses et qu’elle s’efforce sérieusement de les corriger. Elle a également indiqué que l’infrastructure de Zola n’a pas été touchée par le piratage et que seulement moins de 0,1 % des couples utilisant la plateforme ont été affectés.

Après l’incident de piratage survenu pendant le week-end, la société a envoyé un e-mail en masse pour informer les utilisateurs qu’elle avait automatiquement réinitialisé les mots de passe de leurs comptes. Zola a précisé dans cet e-mail que cette action a été étendue à tous les utilisateurs par mesure de précaution, même si la majorité d’entre eux ne sont pas concernés. Il s’agit d’une norme de sécurité primaire adoptée par plusieurs entreprises dont les comptes d’utilisateurs sont affectés par un piratage.

Les versions Android et iOS de l’application Zola ont également été désactivées pendant le week-end par mesure de précaution. Toutefois, elles ont été rétablies depuis.

Actuellement, la mesure de sécurité de Zola ne comprend aucun protocole d’authentification à deux facteurs. Il est donc beaucoup plus facile pour les attaques de credential stuffing de réussir sur la plateforme. Cela peut surprendre, sachant qu’un protocole de sécurité aussi rudimentaire est nécessaire pour offrir un certain niveau de protection aux comptes des utilisateurs. Bien que les utilisateurs bénéficiant d’une telle protection puissent toujours être affectés par un piratage, une authentification à double facteur rend généralement plus difficile pour l’acteur de la menace d’accéder au compte de l’utilisateur.

La plupart des sites qui traitent régulièrement de grandes quantités de données personnelles et financièrement sensibles proposent des méthodes d’authentification supplémentaires pour leurs comptes. Mais les utilisateurs de Zola pourraient être davantage exposés puisqu’il ne propose aucune forme d’authentification à deux facteurs.

Il est conseillé aux utilisateurs de conserver des mots de passe de sécurité forts et uniques

Bien que Zola ait déclaré que le nombre d’utilisateurs touchés est très faible, le nombre exact d’utilisateurs touchés n’est pas connu.  Comme dans le cas des attaques de credential stuffing, la plupart des comptes touchés sont ceux dont les mots de passe sont faibles, car il est très facile pour les hackers de craquer ces mots de passe. En outre, l’absence d’authentification à deux facteurs chez Zola a permis aux hackers d’accéder plus facilement aux comptes des utilisateurs.

Zola a demandé à tous les utilisateurs qui ont été touchés par l’incident de piratage de contacter support@zola.com pour obtenir des conseils de sécurité et de plus amples informations.

Les experts en sécurité recommandent généralement de créer un mot de passe fort et unique pour chaque site web. Bien que cela puisse sembler être un casse-tête de maintenir plusieurs identifiants pour tous les comptes qu’ils utilisent en ligne, il s’agit d’un protocole de sécurité important à respecter. Dans la plupart des attaques de credential stuffing, les victimes sont habituellement celles qui conservent des mots de passe faibles ou des détails de compte similaires sur deux sites web ou plus.

Le fait d’avoir un mot de passe fort et de conserver des informations dédiées pour chaque compte aidera les utilisateurs à protéger leurs comptes. Les experts en sécurité ont conseillé aux utilisateurs d’utiliser un bon gestionnaire de mots de passe pour éviter d’avoir à gérer plusieurs mots de passe uniques.

Summary
DES HACKERS COMPROMETTENT LES COMPTES DES UTILISATEURS DU REGISTRE ZOLA
Article Name
DES HACKERS COMPROMETTENT LES COMPTES DES UTILISATEURS DU REGISTRE ZOLA
Description
Le site Web populaire d'organisation de mariages Zola est devenu la plus récente victime d'un piratage informatique.
Author
Publisher Name
koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

%d blogueurs aiment cette page :