[ad_1]

Lorsqu’il s’agit de signaler des violations impliquant des comptes clients de grandes marques, les médias d’information méritent globalement un F-moins. Il se passe à peine une semaine sans que je n’entende des lecteurs parler d’une histoire haletante proclamant qu’une autre entreprise de marque domestique a été piratée. En y regardant de plus près, les histoires sont généralement basées sur un peu plus que des preuves anecdotiques de clients dont les comptes de fidélité ou de points en ligne ont été piratés puis vidé de leur valeur.

java messLe dernier exemple en date est venu la semaine dernière de une histoire qui a été signalé de manière responsable par Bob Sullivanun ancien MSNBC journaliste qui s’est depuis retiré à son compte. Sullivan s’est entretenu avec plusieurs consommateurs qui avaient vu le solde de leur carte Starbucks vidé puis rechargé.

Ces clients avaient tous choisi de lier leurs comptes de débit à leurs cartes Starbucks et à leurs téléphones portables. Sullivan a donné dans son histoire une explication logique à l’activité : ces consommateurs avaient réutilisé le mot de passe de leur compte Starbucks sur un autre site qui a été piraté, et les attaquants ont simplement essayé ces informations d’identification de compte en masse sur d’autres sites populaires – sachant qu’un bon nombre de consommateurs utiliser la même adresse e-mail et le même mot de passe sur plusieurs sites.

Suite à l’histoire de Sullivan, les médias ont bondi, suggérant que Starbucks avait été compromis. Dans une déclaration écriteStarbuck a nié que l’activité non autorisée résultait d’un piratage ou d’une intrusion dans ses serveurs ou ses applications mobiles.

« De temps en temps, Starbucks reçoit des rapports de clients d’activités non autorisées sur leur compte en ligne », a écrit la société. « Cela est principalement dû au fait que des criminels obtiennent des noms et des mots de passe réutilisés sur d’autres sites et tentent d’appliquer ces informations à Starbucks. Pour protéger leur sécurité, les clients sont encouragés à utiliser différents noms d’utilisateur et mots de passe pour différents sites, en particulier ceux qui conservent des informations financières.

Dans la plupart des cas, une vague d’activités de comptes frauduleux ciblant une grande marque est précédée de publications sur des forums de hackers conviviaux sur un grand nombre de comptes compromis à vendre, et de la publication de «méthodes» enseignables pour extraire de la valeur desdits comptes piratés.

Starbucks fissuré

Sans surprise, nous avons vu un grand nombre de comptes Starbucks compromis à vendre dans les jours qui ont précédé l’histoire initiale de la fraude Starbucks, ainsi que les « méthodes » habituelles expliquant aux ne’er-do-wells ignorants sur la façon de perpétrer fraude contre des comptes piratés. Voici un autre fil noob-friendly expliquant comment encaisser des comptes Subway compromis; combien de temps avant de lire des reportages dans les médias criant que Subway a été piraté ?

Certes, la réutilisation des mots de passe est un problème majeur, et c’est l’un des principaux moteurs de la fraude comme celle-ci. De plus, des entreprises comme Starbucks, Hilton Honors, Starwood et d’autres pourraient certainement faire plus – comme offrir aux clients une authentification en deux étapes – pour protéger les comptes. En effet, comme le montrent ces épisodes récurrents, les marques concernées subissent un coup dur lorsque les clients voient leurs comptes piratés par la réutilisation de mots de passe, car l’histoire se transforme inévitablement en allégations de violation de données au niveau de la marque concernée.

Mais cela fonctionne dans les deux sens : les consommateurs qui réutilisent les mots de passe des sites contenant leurs données de paiement demandent des ennuis et finiront par en avoir.

Pour obtenir des conseils utiles sur la sélection de mots de passe forts (ou la sous-traitance à des logiciels et/ou services tiers), consultez cette introduction. Pour en savoir plus sur la façon dont les punks penny-ante exploitent la réutilisation des mots de passe et incitent les médias à signaler faussement les violations, consultez Comment identifier les fuites de données à partir de cascades publicitaires.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *