La chaîne de fitness Basic-Fit et le site de réservation Booking.com annoncent tous deux une fuite de données. Chez Basic-Fit, il s’agit d’au moins un million de clients touchés.
Deux fuites de données pour le prix d’une. Basic-Fit et Booking.com ont tous deux annoncé hier avoir reçu la visite indésirable de pirates informatiques.
Dans un communiqué public, Basic-Fit a annoncé lundi matin avoir constaté un « accès non autorisé » au système enregistrant les visites des membres. L’intrus (ou les intrus) aurait été expulsé après quelques minutes, mais cela n’a pas empêché le téléchargement de données personnelles de clients. Les clients concernés ont été informés par e-mail (voir ci-dessous).
Un million de clients touchés
Basic-Fit communique que 200 000 membres aux Pays-Bas sont touchés par la fuite de données. La chaîne de fitness, d’origine néerlandaise, possède également des clubs en Belgique, en France, au Luxembourg, en Allemagne et en Espagne. Dans une réaction à ITdaily, l’entreprise déclare ne pas partager délibérément d’informations sur le nombre de clients concernés par pays, bien qu’il s’agirait au total d’environ un million de clients. Cela représente environ un cinquième de la base de clientèle totale.
L’enquête initiale a révélé que les données clients suivantes pourraient avoir été divulguées :
- Adresse e-mail
- Prénom et nom
- Adresse et lieu de résidence
- Numéro de téléphone
- Numéro de compte bancaire
- Titulaire du compte
- Date de naissance
- Informations d’adhésion
Les mots de passe des comptes Basic-Fit sont restés hors de portée. Bien que les clients n’aient donc pas à craindre que leur compte soit piraté, de nombreuses informations personnelles se retrouvent dans la nature. Les cybercriminels aiment mettre la main sur ces données pour pouvoir élaborer des e-mails de phishing personnalisés. Basic-Fit demande aux clients d’être particulièrement vigilants à cet égard.
On ne sait pas si les données divulguées ont déjà été publiées sur le dark web ni si le ou les auteurs exigent une rançon de Basic-Fit. La chaîne de fitness déclare avoir signalé l’incident à l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens).
Fuite de données chez Booking.com
Ceux qui ont récemment réservé une nuit d’hôtel via Booking.com pourraient également être concernés. Booking.com a informé ses clients par e-mail dimanche soir d’un incident de sécurité. Outre les informations de réservation, les noms, adresses e-mail, numéros de téléphone et adresses physiques auraient également été visibles par des personnes non autorisées.
« Nous avons récemment constaté des activités suspectes au cours desquelles des tiers non autorisés ont accédé aux données de réservation de certains de nos clients. Dès que nous avons découvert ces activités, nous avons pris des mesures pour contenir le problème. Nous avons modifié le code PIN de ces réservations et en avons informé nos clients. Nous pouvons confirmer qu’aucune donnée financière n’a été dérobée dans les systèmes de Booking.com », a déclaré l’entreprise dans une réaction transmise à ITdaily.
Pour les personnes touchées par l’une de ces fuites de données, ou par les deux si vous n’avez vraiment pas de chance, le conseil reste le même : soyez particulièrement vigilant face aux e-mails suspects semblant provenir de Basic-Fit ou de Booking.com.
Pour Booking.com, cet incident n’est pas une première. L’entreprise a reçu une amende de près d’un million d’euros après un incident en 2018 qu’elle avait signalé beaucoup trop tard. Cette année, des pirates ont pris le contrôle de la fonction de chat du site web pour piéger les clients des hôtels.
Débâcles de sécurité néerlandaises
Il n’y a actuellement aucune raison de supposer que les incidents impliquant Basic-Fit et Booking.com sont liés entre eux. Mais il existe un facteur commun : les deux entreprises ont leur siège social aux Pays-Bas. Le gouvernement néerlandais a lui-même montré à plusieurs reprises récemment qu’il n’était pas un bon exemple en matière de cybersécurité.
Le mois dernier, le ministère des Finances a annoncé avoir reçu la visite de pirates informatiques. Au ministère de la Justice, les problèmes durent depuis plus longtemps. Le partenaire informatique attitré du ministère a été piraté à deux reprises depuis l’été dernier.
Cet article a été initialement publié le 13 avril et a été republié avec une réaction de Booking.com.