Certains articles de veille peuvent faire l'objet de traduction automatique.
Le site de tutorat de guitare en ligne TrueFire a apparemment subi une violation de données de type « Magecart » qui pourrait avoir conduit à l’exposition des informations personnelles de ses clients et des informations relatives aux cartes de paiement.
TrueFire est l’un des sites de tutorat de guitare les plus populaires avec plus d’un million d’utilisateurs, où les guitaristes en herbe paient en ligne pour accéder à une énorme bibliothèque de plus de 900 cours et 40 000 leçons vidéo.
Bien que TrueFire n’ait pas encore divulgué ou reconnu publiquement la violation, The Hacker News a appris l’incident après que quelques clients concernés mis en ligne les détails d’une notification qu’ils ont reçue de la société la semaine dernière.
Le Hacker News a également trouvé une copie de ce document.Avis de violation des donnéesLes informations sur le site web de la Commission européenne ont été récemment mises en ligne sur le site web de Département de la justice du MontanaLe rapport de la Commission sur la protection des données, en particulier sur une section où le gouvernement partage des informations sur les violations de données qui touchent également les résidents du Montana.
Confirmant la violation, la notification révèle qu’un attaquant a obtenu un accès non autorisé au serveur web de la société vers le milieu de l’année dernière et a volé les informations de paiement des clients qui ont été saisies sur son site web pendant plus de cinq mois, entre le 3 août 2019 et le 14 janvier 2020.
« Bien que nous ne stockions pas les informations relatives aux cartes de crédit sur notre site web, il semble que la personne non autorisée ait eu accès au site et ait pu accéder aux données des consommateurs qui ont effectué des achats par carte de paiement pendant que ces données étaient saisies », indique la notification de violation.
« Nous ne pouvons pas affirmer avec certitude que vos données ont été spécifiquement consultées ; cependant, vous devez savoir que les informations qui ont potentiellement fait l’objet d’un accès non autorisé comprennent votre nom, votre adresse, le numéro de compte de votre carte de paiement, la date d’expiration de la carte et le code de sécurité », indique la notification de violation.
Bien que la société n’ait pas expliqué comment les attaquants ont réussi à compromettre son site web ou s’ils y ont injecté un écrémeur de carte de crédit numérique, le scénario ressemble beaucoup à un Attaque à la Magecart.
Pour ceux qui ne le savent pas, Pirates de Magecart compromettent généralement les sites web et insèrent secrètement dans leurs pages de paiement un code JavaScript malveillant qui capture silencieusement les informations de paiement des clients effectuant des achats sur les sites et les envoie ensuite au serveur distant de l’attaquant.
La société a découvert cet incident de sécurité le 10 janvier et affirme avoir maintenant corrigé la vulnérabilité du web qui a permis aux attaquants de compromettre son site web en premier lieu.
Il est conseillé aux guitaristes qui ont effectué un paiement en ligne sur le site de TrueFire entre août dernier et janvier prochain de bloquer les cartes de paiement utilisées sur ce site et d’en demander une nouvelle à leur institution financière respective.
Il est également conseillé aux autres clients d’être vigilants et de surveiller de près leurs relevés bancaires et de cartes de paiement pour détecter toute activité inhabituelle.
Par mesure de précaution, tous les utilisateurs sont également encouragés à changer les mots de passe de leur compte TrueFire et de tout autre compte en ligne où ils utilisent les mêmes identifiants.
Voir aussi :
Poster un commentaire