Shadow a informé hier ses clients avoir été victime d'une attaque « hautement sophistiquée » qui a conduit à la fuite de données privées. Dans l'email adressé à ses abonnés, le service indique qu'ont été volés « votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. »
« Aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis », précise Shadow. Néanmoins, les autres données privées maintenant dans la nature peuvent être utilisées par des malandrins pour monter toutes sortes d'arnaques, comme des tentatives de phishing. La plupart des clients, sinon tous (y compris ceux qui ne sont plus abonnés aujourd'hui, puisque nous avons reçu un email sur un compte qui n'est plus utilisé), semblent concernés par la fuite — nous attendons une précision de l'entreprise à ce sujet.
Le service français, qui présente ses excuses pour la gêne occasionnée, détaille l'attaque dont il a fait l'objet :
À la fin du mois de septembre, nous avons été victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de la même attaque. L'attaquant a pu exploiter l’un des cookies dérobés pour se connecter sur l’interface de gestion d’un de nos fournisseurs SaaS. Grâce à ce cookie, désormais désactivé, l’attaquant a su extraire, via l’API de notre fournisseur de SaaS, certaines informations privées vous concernant.
Shadow dit avoir depuis sécurisé ses systèmes ainsi que pris des précautions pour éviter de futurs incidents.
Mise à jour le 13 octobre à 16 h — Comme l'a remarqué BleepingComputer, un internaute affirme sur un forum de piratage être le responsable de l'attaque et avoir volé les données de 533 624 utilisateurs, qu'il met maintenant en vente. Cette base de données n'a pas encore été authentifiée, nous avons demandé à Shadow s'il s'agissait véritablement des données de ses clients et sommes dans l'attente d'une réponse. Si cette base de données est véridique, le nombre d'utilisateurs concernés tend à penser que ce sont aussi bien les anciens clients que les clients actuels qui ont vu leurs infos personnelles subtilisées (au top de sa forme, Shadow cumulait 100 000 abonnés simultanés).
Shadow PC Essential : le PC dans le cloud à 10 € par mois, mais pas pour jouer
