Détaillant de cartes-cadeaux numériques Cadeau a forcé une réinitialisation du mot de passe pour certains de ses utilisateurs. Cette décision intervient en réponse au vol de noms d’utilisateur et de mots de passe d’un sous-ensemble de clients Gyft.
Gyft, basé à Mountain View, en Californie, permet aux clients d’acheter et d’utiliser des cartes-cadeaux entièrement à partir de leurs appareils mobiles. Agissant sur un conseil d’une source fiable dans le milieu de la cybercriminalité qui a signalé qu’un cache de données de compte sur les clients de Gyft était proposé au bon enchérisseur, BreachTrace a contacté Gyft pour partager des renseignements et demander des commentaires.
Gyft a refusé de commenter le dossier de cette histoire. Mais les responsables de l’entreprise insistent sur le fait que leurs plates-formes n’ont jamais été piratées, pointant plutôt vers un tiers anonyme.
Gyft a confirmé que les attaquants étaient en mesure d’acquérir des noms d’utilisateur et des mots de passe pour un sous-ensemble de clients Gyft, et qu’il avait forcé une réinitialisation du mot de passe pour ces comptes.
La société n’a pas divulgué publiquement le nombre de ses clients, mais les initiés ont déclaré que le pourcentage d’utilisateurs concernés était dans les « chiffres élevés ». Deux dirigeants de Gyft ont déclaré à BreachTrace qu’ils avaient appris le problème pour la première fois il y a environ trois semaines et que tous les comptes concernés étaient surveillés pour détecter toute activité suspecte.
Le cadeau était acquis en juillet 2014 par le géant du paiement premières données, une entreprise traditionnellement spécialisée dans le traitement des cartes de crédit et la gestion des guichets automatiques.
L’attaque contre Gyft risque d’intéresser particulièrement les passionnés de monnaie virtuelle Bitcoin. Fondée en 2012, Gyft est depuis longtemps l’une des préférées des titulaires de compte bitcoin, car elle a toujours été l’un des moyens les plus simples d’échanger des bitcoins contre des cartes-cadeaux numériques pouvant être utilisées dans les entreprises de tous les jours.
Les cyber-escrocs recyclent très souvent les informations d’identification volées en essayant les paires nom d’utilisateur/adresse e-mail et mot de passe chez des dizaines d’autres détaillants en ligne, sachant qu’un bon pourcentage de consommateurs réutiliseront les mêmes informations d’identification sur plusieurs sites. Si vous avez réutilisé votre nom d’utilisateur et votre mot de passe Gyft sur d’autres sites (tsk-tsk !), il est temps de changer ces mots de passe.
Les entreprises peuvent renforcer la sécurité des comptes clients en exigeant que les utilisateurs s’inscrivent à une authentification en deux étapes ou à plusieurs facteurs, un processus dans lequel le client doit fournir un code spécial à usage unique envoyé à un appareil mobile en plus d’un nom d’utilisateur et d’un mot de passe. L’activation de l’authentification en deux étapes permet d’atténuer la menace des informations d’identification volées des clients, car les voleurs auraient également besoin d’avoir accès à l’appareil mobile de l’utilisateur afin de détourner le compte.
Un examen rapide de la plate-forme utilisateur de Gyft suggère que la société n’offre pas encore d’authentification en deux étapes pour son site en ligne, et qu’elle n’exige pas non plus que les utilisateurs fournissent un numéro de téléphone mobile. Cependant, lors d’une conférence Bitcoin en Afrique cette année, le fondateur de Gyft Vinny Lingham aurait a déclaré au public que la société envisageait d’ajouter la fonction de sécurité.