Le tour opérateur CitySights a fait l’objet d’un piratage de sa base de données. Les hackers ont pu récupérer plus d’une centaine de milliers de numéros de cartes de crédits.
Le spécialiste du tourisme new-yorkais CitySights a été victime de piratage. Au total, les hackers sont parvenus à récupérer pas moins de 110 000 numéros de cartes bancaires, leur date de validité, leur cryptogramme, ainsi que les noms, adresses et emails associés.
Pour s’introduire dans les serveurs de leur cible et atteindre sa base de données, ils ont lancé une attaque par Injection SQL. Plus précisément, ils ont pu y accéder via les formulaires remplis par les clients en ligne, qui envoyaient des requêtes à la base de données. Ce moyen est très connu des hackers. En mars dernier, Albert Gonzalez avait été arrêté après avoir utilisé le même système pour pirater plusieurs entreprises financières. Il avait obtenu la plus grosse peine jamais donnée à un hacker.
Mais le plus étonnant dans cette affaire reste le fait que la société a mis un mois pour se rendre compte de l’incident. « La faille de sécurité a été découverte autour du 25 octobre lorsque le programmeur web a noté qu’un script non autorisé avait été chargé sur le serveur (…) le 26 septembre dernier » précise la victime. Et depuis fin octobre, la cible est restée dans l’ombre, ne voulant propager cette information et voir ses affaires s’écrouler. Mais au regard de la proportion de clients concernés, elle n’a plus le choix et a du révéler cette histoire au grand jour. L’entreprise de tourisme a donc prévenu ses clients il y a quelques jours, et leur propose en retour une réduction de 50% sur leur prochain tour et dévoile ouvertement sur son site Web le code du coupon !
Et pour rassurer ses futurs clients, le groupe a mis en place un firewall et un nouveau système de sécurité pour ses serveurs afin de limiter les risques d’attaque à l’avenir. Mais, il n’est pas certain que cela soit suffisant.