Shadow a indiqué dans un communiqué avoir été victime d'un piratage informatique. Malgré des mesures prises très rapidement, des données privées d'utilisateurs ont pu être dérobées.
Décidément, le sens du rythme est mauvais pour Shadow : alors que le service de cloud computing a lancé une nouvelle offre à 9,99 euros par mois, il a été victime de piratage. Tous les clients du service ont reçu un mail ce 11 octobre, leur apprenant ce hack.
Comment Shadow s’est fait pirater : récit d’un hack par ingénierie sociale
L’histoire se déroule fin septembre avec un employé de Shadow. L’une de ses « connaissances » le contact sur Discord, afin de lui envoyer un lien vers un jeu qui semble être publié sur Steam. Le salarié télécharge alors le jeu, qui se révèle être un malware. Cette « connaissance » n’était pas malintentionnée, mais l’utilisateur de son compte l’était : c’est précisément parce qu’elle a été elle-même victime de l’attaque. Son compte piraté a pu transmettre le malware à ses contacts, dont cette personne travaillant chez Shadow. Ce qu’on ne sait pas, c’est s’il s’agit d’un jeu qui était réellement publié sur Steam, ou bien un jeu téléchargé depuis un site ressemblant trait pour trait à Steam. Un mode de piratage qui n’est pas sans rappeler celui utilisé à l’encontre de certains influenceurs : c’était arrivé au youtubeur Michou en avril 2022 et plus récemment au streameur Xari cet été. À chaque fois, un jeu vidéo à installer sur son ordinateur, « recommandé » par un proche, lui-même piraté.
Dans le communiqué publié par Shadow, le PDG Eric Sèle raconte que l’équipe de sécurité de l’entreprise « a pris des mesures immédiates. » Néanmoins, le ou les pirates ont profité de cookies volés sur la machine du salarié pour se connecter sur un logiciel de gestion d’un des fournisseurs de Shadow. Le pirate a ensuite pu exploiter l’API dudit fournisseur afin de demander l’accès à certaines informations privées des clients de Shadow. Suite à cela, Eric Sèle a précisé avoir « renforcé les protocoles de sécurité que nous appliquons avec tous nos fournisseurs SaaS. Enfin, nous allons mettre à niveau nos systèmes internes afin de rendre inoffensifs les postes de travail compromis. »
Je suis client Shadow, que faire pour éviter de me faire pirater ?
Parmi ces informations qui ont fuité, il y a :
- Nom ;
- Prénom ;
- Adresse mail ;
- Date de naissance ;
- Adresse de facturation ;
- Date d’expiration de la carte bancaire.
Shadow insiste sur le fait qu’aucun mot de passe n’a fuité, ni aucune autre donnée bancaire. Si vous êtes client du service, nous vous recommandons toutefois de modifier votre mot de passe, et de vérifier que l’actuel n’est pas utilisé sur d’autres sites, par mesure de précaution. Si vous avez d’autres adresse mail, il peut également être interessant de changer celle associée au compte Shadow.
Le communiqué envoyé par mail à tous les clients demande à ces derniers de redoubler de vigilance quant aux mails qu’ils pourraient recevoir. En effet, ils pourraient contenir des tentatives de phishing (ou hameçonnage) en vous demandant des informations sensibles (mots de passe, codes de carte bancaire, etc.). Autre solution : recourir à l’authentification à plusieurs facteurs pour votre compte Shadow.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix