Deux lecteurs différents ont écrit la semaine dernière pour se plaindre d’avoir leur Invité privilégié Starwood comptes de fidélité piratés par des escrocs. Le pic de fraude semble être lié à une combinaison de la réutilisation des mots de passe et de la sortie d’un outil qui automatise la vérification des informations d’identification du compte sur le site Web du populaire programme de récompenses de voyage.
La compromission massive des comptes Starwood a sérieusement commencé il y a moins d’une semaine. Cela coïncide à peu près avec un outil de vérification de compte spécifique à Starwoods qui a été publié gratuitement sur Forums de fuite[dot]orgun forum en anglais dédié à aider les inadaptés (principalement peu qualifiés) à monétiser les informations d’identification compromises de divers services en ligne, en particulier les détaillants en ligne, les services basés sur le cloud et les comptes de points ou de récompenses.
L’outil est un peu plus qu’un peu de code qui automatise la vérification des informations d’identification de compte volées à d’autres violations de données, pour voir si les informations d’identification volées fonctionnent également sur Starwoods.com. Ces types d’outils de vérification de compte fonctionnent parce que, malgré les conseils constants du contraire, un bon nombre d’internautes s’appuieront sur la même paire d’adresse e-mail (nom d’utilisateur) et de mot de passe pour les comptes sur plusieurs sites.
La sortie de l’outil de vérification de compte a amené de nombreux habitants de Leakforums à exécuter l’outil sur diverses listes de noms d’utilisateur et de mots de passe volées lors de précédentes violations de données. Moins de 24 heures après sa publication, plus d’une demi-douzaine de membres de Leakforums vendaient des comptes compromis. Un vendeur a annoncé un compte Starwood avec 70 000 points à vendre à seulement 3 $, tandis que les comptes avec environ 40 000 points se vendaient 1,50 $.
La sortie d’un outil de vérification de compte pour les informations d’identification Starwood a incité des dizaines de malfaiteurs à vendre et à encaisser des points de récompense Starwood détournés.
Selon un tutoriel publié sur le forum, les acheteurs de comptes piratés « encaissent » leurs achats en créant de nouveaux comptes Starwood, puis en forçant le compte piraté à transférer le solde de son compte vers le nouveau compte. Les points de récompense sont ensuite échangés contre des cartes-cadeaux pouvant être utilisées comme espèces.
Starwood offre aux clients la possibilité de recevoir des alertes par e-mail ou SMS lorsque des modifications de compte sont apportées. Mais le tutoriel sur Leakforums encourage les acheteurs à modifier l’adresse e-mail, le mot de passe et d’autres informations de contact sur le compte de la victime, bloquant ainsi l’utilisateur légitime.
Chris Holdenvice-président senior mondial et numérique chez Starwood Preferred Guest, a déclaré que les attaques de la semaine dernière suivaient de près les schémas de fraude qui ont frappé d’autres programmes de fidélité ces derniers mois, y compris Hilton Honors.
« Ils semblent utiliser des informations d’identification d’ailleurs et voir combien d’entre eux correspondent aux comptes Starwood pour voir combien de visites ils peuvent obtenir », a déclaré Holdren.
Holdren a ajouté que les utilisateurs de Starwood dont les comptes ont été piratés ne perdront pas de points en raison de la fraude, une affirmation soutenue par au moins un des deux lecteurs qui ont initialement contacté BreachTrace au sujet d’être victime de fraudeurs.
« Aucun invité ne perdra même un seul point Starwood grâce à cette activité », a déclaré Holdren. « Nous avons une très grande équipe mobilisée à l’échelle mondiale pour le combattre. »
Des entreprises comme Starwood pourraient-elles faire beaucoup plus pour faciliter des procédures de connexion plus sûres, telles que l’authentification en 2 étapes ? Absolument. Même ainsi, beaucoup trop de gens réutilisent les mêmes mots de passe sur plusieurs sites qui contiennent soit leurs informations de carte de crédit, soit des points qui peuvent facilement être échangés contre de l’argent.