Reportage : une fuite de données client de Freedom Mobile expose jusqu'à 1,5 million d’utilisateurs

L’équipe de recherche de vpnMentor a découvert une énorme fuite de données chez Freedom Mobile.

Menés par les hacktivistes Noam Rotem et Ran Locar, les chercheurs de vpnMentor ont découvert une brèche exposant les données personnelles de jusqu’à 1,5 million d’utilisateurs Freedom Mobile actifs. Freedom Mobile (anciennement Wind Mobile) est le quatrième plus gros opérateur mobile du Canada.

La base de données n’est pas du tout protégée, et n’est pas cryptée. Ces données incluent des numéros de cartes bancaires et des numéros CVV.

Chronologie de la découverte de la fuite et des réactions

• 17 Avril : nous découvrons la fuite dans la base de données de Freedom Mobile.
• 18 Avril : nous envoyons un mail à Freedom Mobile pour informer l’entreprise de cette grosse fuite de données. Aucune réponse.
• 23 Avril : nous essayons à nouveau de contacter Freedom Mobile.
• 24 Avril : Freedom Mobile répond enfin à nos messages.
• 24 Avril : Freedom Mobile répare la fuite de données.

Exemples d’entrées de la base de données

De manière similaire à Gearbest et sa base de données Elasticsearch non protégée, la base de données de Freedom Mobile n’avait aucun cryptage. Nous avons eu un accès complet à plus de 5 millions d’enregistrements, associés à jusqu’à 1.5 million d’utilisateurs.

Ces enregistrements semblent indiquer toutes les actions effectuées au sein du compte d'un utilisateur, permettant plusieurs saisies par client.

Les données personnelles divulguées incluent :

• L’adresse e-mail
• Les numéros de téléphone portable et fixe
• Les adresses postales
• La date de naissance
• Le type de client
• L’adresse IP associée à la méthode de paiement
• Les numéros de cartes bancaires et numéros CVV non cryptés
• Les côtes de solvabilité d’Equifax et autres entreprises, ainsi que les raisons de l’acceptation/du refus

Nous avons également pu accéder aux numéros de comptes, aux dates d’abonnement, aux cycles de facturation, et aux archives du service client avec localisations incluses.

Certaines saisies contenaient des données provenant de la base de données d’Equifax. Elles contenaient des informations sur les côtes de solvabilité, le type de crédit, et les comptes associés aux cartes bancaires.

Impact de cette fuite de données

Ce qui est ironique, c’est que Freedom Mobile se targue d’offrir de hauts niveaux de confidentialité. C’est même dans leur bio Twitter :

Toutefois, il est évident qu’ils ont partagé, voire même divulgué les données de leurs clients.

Après avoir découvert la fuite, nous avons immédiatement alerté Freedom Mobile du problème. Comme ils ne répondaient pas, nous avons demandé à nos contacts d’un autre site de sécurité de nous aider à les contacter au cas où nos emails se retrouvaient dans les spams. Mais ils ont fini par répondre, ce qui indique que ce n’est pas le cas.

Pour des raisons éthiques, nous n’avons pas téléchargé la base de données, nous ne savons donc pas exactement combien de gens sont touchés.

Toutefois, nous avons pu accéder à au moins 5 millions d’enregistrements non protégés. Freedom Mobile a au moins 1,5 million d’abonnés, et sa compagnie mère appartient à Shaw Communications qui a plus de 3.2 millions de clients dans tout le Canada. C’est probablement la plus grosse fuite de données subie par une entreprise canadienne.

Il est rare de trouver une fuite qui donne à la fois les informations bancaires et les numéros CVV, surtout sur une fuite de cette taille.

Comme cette fuite de données contient des informations bancaires non cryptées, Freedom Mobile est potentiellement en désaccord avec les règles du PCI (Payment Card Industry). Cela pourrait avoir un impact très réel sur l’entreprise et sur ses clients.

Les risques de piratage

Une base de données contenant des informations bancaires complètes, des dates de naissances, des noms complets assortis de l’adresse postale et du numéro de téléphone permet les fraudes bancaires et les vols d’identité. Cela pourrait être dangereux pour leurs utilisateurs, mais aussi pour leurs banques et leurs compagnies d’assurance et leur coûter des centaines de milliers de dollars.

Une base de données contenant des informations personnelles non cryptées est une ressource de grande valeur pour les hackers. Un accès aux adresses, aux adresses mail, aux numéros de téléphone et aux données bancaire peut aider les hackers à créer des attaques phishing sophistiquées.

Les informations bancaires permettent aussi des attaques ransomware ultra ciblées, puisque les hackers savent à qui demander de grosses sommes d’argent.

Même l’utilisateur le plus prudent ne peut pas se protéger contre une entreprise qui enregistre ses données sur une base de données non sécurisée. La meilleure manière que nous avons trouvée, c’est d’utiliser une carte, un compte ou un numéro CVV temporaire avec votre compte. Consultez notre guide complet pour plus d’informations.

À propos de nous et de nos reportages précédents :

vpnMentor est le plus gros site d’avis sur les VPN du web. Notre labo de recherche est un service gratuit qui souhaite aider la communauté internet à se défendre contre les cybermenaces tout en informant les organisations sur la meilleure façon de protéger les données de leurs utilisateurs.

Nous avons récemment découvert une énorme fuite de données touchant plus de 80 millions de foyers aux USA. Nous avons aussi révélé l’immense fuite de données de Gearbest. Vous pourriez aussi vouloir consulter notre rapport sur les fuites VPN et notre article sur les statistiques de la confidentialité des données.

Merci de partager cet article sur Facebook ou Twitter.