Domino’s Pizza a annoncé vendredi avoir fait l’objet d’un piratage qui a permis à un assaillant de récupérer les informations personnelles des clients qui étaient stockés dans une base de données.
Si vous avez déjà passé une commande en ligne chez Domino’s Pizza, vous feriez mieux de vous assurer que le mot de passe que vous utilisiez jusqu’à présent sur le site Web de la chaîne de restauration rapide pour vous identifier n’était pas employé sur les autres espaces que vous fréquentez par ailleurs. Car en effet, la base de données du spécialiste de la pizza a été piratée.
Domino’s Pizza n’a pas tardé a expliqué via son compte Twitter que les assaillants ont réussi à “décoder le système de chiffrement” qui était utilisé pour protéger les mots de passe au sein de sa base de données. L’entreprise répète que si certaines informations personnelles ont effectivement été soustraites, les données bancaires ne sont absolument pas concernées. Un point positif certes, mais qui ne fais pas oublié les milliers de coordonnées complètes qui se retrouvent aux mains des cybercriminels (nom, prénom, adresse mail, mot de passe, numéro de téléphone, date de naissance et adresse postale). Les autres affirmations ne sont que charabia sans queue ni tête d’un point de vue professionnel de la sécurité :
- “un système de cryptage des données commerciales”
- “Les hackers […] ont été en mesure de décoder le système de cryptage”
- “Toutefois les hackers dont nous avons été victimes sont des professionnels aguerris”
Vous avouerez que l’on peut faire mieux niveau communication… surtout que la société est entièrement responsable des précieuses informations personnelles de ses clients ! (cf CNIL). Si il s’agit d’une vulnérabilité permettant l’exploitation d’une injection SQL, il n’y a aucunement besoin d’être un “professionnel aguerris” pour arriver à mettre la main sur la base de données su site ! Ensuite, concernant le hashage des mots de passe, tout dépend ce qui était utilisé : du MD5 ou du SH1 peuvent tous 2 être cassé assez rapidement actuellement, et même un salage ne ferait que ralentir le processus. Un amateur bien équipé peut tout à fait les cracker ! Du coup, on se demande si la société sait réellement de quoi elle parle…
Le nombre exact de clients touchés n’a pas été communiqué par la société. Domino’s Pizza ajoute que depuis la cyberattaque, des experts ont été mandatés “pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder“. Cette procédure a permis d’en détecter une qui a depuis été résolue.
Les commentaires sont fermés.