Le droit de posséder et porter une arme à feu est garanti par le Deuxième amendement de la Constitution des États-Unis. Cependant, le pays est comme sur le qui-vive désormais en raison de l'augmentation du nombre de fusillades publiques ces dernières années. Par conséquent, et dans le contexte politique actuel des États-Unis, cette fuite de données peut avoir des effets dévastateurs sur Guns.com et ses clients puisque leurs adresses physiques, l'historique des armes achetées, leurs coordonnées et leurs informations bancaires ont été divulgués au monde entier. La grande question est de savoir qui ont acheté ces données.
En effet, et comme le précise un billet de blogue de Guns.com aussi, en janvier dernier, un pirate informatique a temporairement désactivé le site Web de la société, perturbant ainsi les opérations de vente au détail du site et obligeant le marchand d'armes à présenter ses excuses à ses clients désorientés pour toute cette débâcle. Guns.com a affirmé que cette attaque avait pour but d'empêcher l'entreprise de fonctionner et qu'il n'y avait "aucune indication" d'une quelconque tentative de vol de données. Toutefois, cette affirmation s'est avérée erronée environ deux mois plus tard.
Plus tôt ce mois, une importante cache de fichiers prétendument extraits du site est apparue sur le populaire site Raid Forums. En fait, un utilisateur anonyme a proposé à tous les internautes de récupérer gratuitement l'ensemble des fichiers de Guns.com, depuis les données administratives et de consommation jusqu'au code source volé du site. La violation de données montre des informations importantes sur les acheteurs d'armes à feu, notamment des identifiants, des noms complets, des adresses électroniques, des numéros de téléphone, des mots de passe hachés.
Plus inquiétant encore, les données comprennent des adresses physiques, y compris la ville, l'État et le code postal. Voici quelques entrées de la base de données que certaines sources, qui ont pu consulter les fichiers de la base de données, ont répertoriées :
- des identifiants d'utilisateur ;
- noms complets ;
- près de 400 000 adresses e-mail ;
- des hachages de mots de passe ;
- adresses physiques ;
- codes postaux ;
- ville ;
- état ;
- identifiants Magneto ;
- numéros de téléphone ;
- date de création du compte.
En outre, ils ajoutent que l'un des dossiers de la base de données qui a fait l'objet de la fuite contient les détails des comptes bancaires des clients, notamment : le nom complet, le nom de la banque, le type de compte, les identifiants Dwolla (il s'agit d'une société de commerce électronique qui fournit un système de paiement en ligne et un réseau de paiement mobile aux États-Unis uniquement). Cependant, les numéros de carte de crédit ou de CCV (Customer Identification Number) n'ont pas été divulgués. Selon ces sources, les données contiennent également des informations très sensibles des administrateurs.
Ces dernières notent la présence d'un fichier Excel dans la base de données contenant des informations de connexion sensibles de Guns.com, y compris les identifiants WordPress, MYSQL et Cloud (Azure) de son administrateur. Cependant, il n'est pas clair si ces informations d'identification sont récentes, anciennes ou déjà modifiées par les administrateurs du site au moment de la violation. Cela peut avoir un effet dévastateur sur l'entreprise, car toutes les informations d'identification des administrateurs, y compris les courriels, les mots de passe, les liens de connexion et les adresses des serveurs, sont en texte clair.
Les sources ont aussi trouvé du code source pour une version du site alimentée par Laravel, bien qu'il ne soit pas clair quelle plateforme le détaillant utilise actuellement. Notons tout de même qu'un incident comme celui-ci met en évidence le potentiel invasif d'une violation de données. Avec le type d'informations disponibles grâce à ce piratage, un cybercriminel habile pourrait commettre un certain nombre d'usurpations d'identité, être bien équipé pour cibler les victimes avec des escroqueries par hameçonnage ou d'autres comportements malveillants, et réaliser un certain nombre d'autres activités dommageables.
Les analystes conseillent aux clients de Guns.com d'être sur leurs gardes, notamment en ce qui concerne le phishing, le SMShing, le SIM Swapping et les escroqueries d'identité. Ils conseillent également de prendre contact avec l'entreprise et de s'interroger sur l'impact de la violation de données.
Source : Guns.com
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Plus de 22 milliards de dossiers exposés sur les violations de données en 2020 analysées par Tenable
Plus de 200 milliards de dollars sont à risque si les 100 plus grandes marques subissent une violation de données, les marques de communication vidéo risquant de perdre 3200 % de leur revenu net
Qui est vraiment responsable des fusillades de masse récurrentes survenant aux USA : Jeux vidéo, lois sur les armes ou violences domestiques ?
Les jeux vidéo violents sont-ils la cause de la fusillade de masse à El Paso aux USA ? Non, selon une étude