Partager:
Decathlon a constaté qu'un "acteur non identifié a tenté d'accéder à certains comptes Decathlon entre le vendredi 27 septembre et le lundi 7 octobre", indique jeudi la chaîne de magasins de sport à ses clients. L'individu a tenté de la sorte d'effectuer des achats frauduleux en convertissant les points de fidélité des consommateurs lésés.
Decathlon assure avoir pris les mesures nécessaires, en bloquant les réseaux d'où provenaient les requêtes malveillantes et en mettant en place "des mesures de sécurité renforcées". Les clients concernés ont été informés et la chaîne leur a demandé de modifier leur mot de passe.
Les données qui ont fait l'objet d'une fuite sont les coordonnées des personnes et leurs données d'identification à leur compte Decathlon.
L'auteur de la fuite a utilisé une méthode appelée "credential stuffing", explique Decathlon. Il a ainsi injecté des informations comme des identifiants et mots de passe, qu'il a trouvées sur le dark web, dans différents systèmes de connexion dont celui de Decathlon.
La technique n'est pas nouvelle. En 2021, des escrocs avaient ainsi volé les cartes de fidélité numériques de centaines de clients de la chaîne de supermarchés Delhaize afin de convertir leurs points en bons d'achat de cinq euros. Déjà à l'époque, il semble que les malfrats avaient utilisé pour ce faire des listes d'adresses mail et de mots de passe qui avaient fuité par le passé.
