Si vous êtes abonné chez Basic-Fit, vous devriez avoir reçu un e-mail de la marque ce lundi. La chaîne de sport (ou de sac à dos selon le point de vue) vient de reconnaître publiquement avoir été victime d’un piratage touchant plusieurs pays européens, dont la France. Des données très sensibles ont été dérobées, coordonnées bancaires comprises.
Un accès au système de pointage des clubs
Les pirates ont réussi à s’introduire dans le système qui enregistre les entrées et sorties des membres dans les différents clubs du réseau. Une cible plutôt inattendue, mais visiblement bien garnie en informations personnelles. À partir de là, ils ont pu mettre la main sur un paquet de données : noms, prénoms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance, et donc coordonnées bancaires.
Basic-Fit tient à préciser deux choses pour limiter la casse en signalant qu’aucun mot de passe n’a été exposé, et l’enseigne affirme ne pas conserver de copies des pièces d’identité de ses membres. Ça ne change pas grand-chose au problème, mais c’est toujours ça.
Détectée en quelques minutes, mais trop tard
La bonne nouvelle, si on peut appeler ça comme ça, c’est que l’intrusion a été repérée et bloquée très rapidement par les équipes de sécurité. La mauvaise, c’est que quelques minutes ont suffi aux hackers pour aspirer une quantité significative de données. Le temps de réaction n’a pas suffi à tout empêcher.
Pour l’instant, l’enquête en cours ne permet pas de confirmer que les données volées ont été publiées quelque part ou exploitées activement. Mais ce genre d’informations peut très bien rester au chaud plusieurs mois avant de réapparaître sur des forums du dark web ou d’être utilisé dans des campagnes de phishing ciblées.
200 000 victimes aux Pays-Bas, et en France ?
Aux Pays-Bas, où Basic-Fit a son siège, environ 200 000 membres sont directement concernés. Pour la France, l’enseigne n’a pas encore communiqué de données chiffrées. Avec près de 780 clubs sur le territoire français et des millions d’abonnés, on peut légitimement s’attendre à ce que le bilan soit musclé.
Que faire si vous êtes abonné Basic-Fit (en plus de respecter vos résolutions du Nouvel An) ?
Même si aucune utilisation frauduleuse n’est confirmée pour l’instant, mieux vaut ne pas attendre les bras croisés. Quelques réflexes s’imposent comme garder un œil sur vos relevés bancaires dans les prochaines semaines, méfiez-vous des e-mails ou SMS qui semblent provenir de Basic-Fit (les hackers pourraient s’en servir pour du phishing), et si vous utilisez le même mot de passe ailleurs qu’il serait lié à votre adresse e-mail Basic-Fit, changez-le sans tarder.
Basic-Fit rejoint la très longue liste d’entreprise présentant des problèmes de cybersécurité dont les ennuis retomberont sur leurs abonnées, à la manière de Free qui a reçu une amende sur le sujet. Il faut croire que celle-ci n’était pas suffisante pour motiver les autres à améliorer la protection des données de leurs utilisateurs.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
