Volpy victime d'un piratage, les données de plusieurs milliers de clients compromises

Stéphane Moussie |

Volpy, un service de reprise et d'échange de smartphones, a été victime d'un piratage début février. Les données de 5 000 à 6 000 clients (sur 400 000 comptes au total) ont été compromises, nous a indiqué Marc Simeoni, le patron de l'entreprise.

Le ou les pirates ont pu voler les noms, prénoms, emails, adresses postales, numéros de téléphone et numéros de commande des comptes concernés. Des IBAN font « peut-être » partie des données compromises également.

Après avoir découvert l'accès non autorisé au début du mois, Volpy a coupé son application pendant 8 jours afin de sécuriser son système. Une personne impliquée dans le piratage menace de publier les données dérobées si Volpy ne verse pas une certaine somme d'argent.

Face à cette tentative d'extorsion, Marc Simeoni dit avoir porté plainte et fait une déclaration à la CNIL. En revanche, les clients concernés n'ont pas encore été alertés du vol de données. L'entreprise prévoit de les avertir à la fin de la semaine.

Mise à jour le 26 février : Volpy a prévenu ses clients concernés par email.

avatar pagaupa | 

Comme c’est beau l’internet! Truffé d’individus bien intentionnés!
Grivaux en sait quelquechose !

avatar TrollMan06 | 

@pagaupa

C’est la même chose dans la rue

avatar macam | 

@"pagaupa"/jean d. le dingue :
"Truffé d’individus bien intentionnés!"
Comme toi ?

avatar Dazoudaz | 

En parlant de piratage, Binks est très louche. J’ai lu leur CGV sur leur site et il y a des indices montrant que ce n’est visiblement pas sérieux. Sans parler du logo Visa au dos de la carte sur les images du store... un capitale de 1000€ 🤔 un design ultra pompé sur celui d’Apple Pay, 2€ offerts par parrainage et à vie (certains pensent qu’ils auront 60€ par mois toutes leur vie grâce à plusieurs parrainages).
Beaucoup de personnes s’inscrivent en donnant leurs coordonnées, c’est inquiétant.

Désolé pour le léger HS mais si ça peut aider.

avatar WWII | 

Heureusement que je n’ai pas l’habitude de m’inscrire sur ce genre de sites vulnérables. Il faut être dupe pour croire que tout est clean.

avatar TrollMan06 | 

@WWII

T’as rien compris

avatar WWII | 

@TrollMan06
Tu porte bien ton nom de troll.

avatar saoullabit | 

@WWII

Comment savoir qu’un site est vulnérable ?

avatar AlexG | 

@WWII

Parce que vous êtes capables de percevoir la vulnérabilité d'un site via son logo ?
👏🏻
Avec une telle capacité, les ingénieurs en sécu n'ont qu'à bien se tenir.
😄

avatar anonx | 

Volpy qui a été moultes fois mis en avant ici même... 🥴

avatar PacmanJones | 

@anonx

Ce fût également ma première réaction mais 🤫

avatar Xalio | 

@PacmanJones

Clairement 😬

avatar mouahahaha | 

Ne vous inquiétez pas, apple vous protége grâce aux pouvoirs divin de steevy. :)

D'ailleurs, si l'application est sur l'app store c'est que forcément l'équipe de validation d'apple a prouvée que c'est sécurisé, nan ? :)

avatar daffyduuck | 

@mouahahaha

Au risque de te décevoir, Apple n’embauche pas les centaines de millions de dev pour analyser ligne par ligne où une faille peu se trouver dans chaque app et chaque mise à jour. Ils ont déjà assez à faire avec les lignes de leurs propres logiciels.

avatar mouahahaha | 

Du coup c'est quoi l'intérêt des équipes de validations, et du store unique et sans alternative, imposé à l'utilisateur, si on laisse passer n'importe quoi sans le moindre contrôle ? :)

Dédicasse à tous les fanboys qui nous expliquent que les applications de l'app store sont plus sécurisé qu'ailleurs. :)

avatar SyMich | 

Et même pour leurs propres logiciels, c'est généralement l'équipe Project Zéro de Google, ou des tiers, qui trouvent les failles... 😂
En même temps, les devs Apple sont pas mal occupés par les prochaines fournées d'emojis 😔

avatar Krysten2001 | 

@mouahahaha

« Nous avons créé les Règles d’utilisation de l’App Store afin de fournir aux développeurs des conseils clairs sur la création des meilleures apps pour nos clients. Les cinq piliers de ces directives — sécurité, performance, business, design et légalité — exigent que les apps proposées sur l’App Store soient sûres, offrent une bonne expérience utilisateur, garantissent la confidentialité des utilisateurs, protègent les appareils des logiciels malveillants et des menaces » Votre commentaire est hors sujet ;) Apple regarde si dans l’application il y a des malware, bug,... mais pas la sécurité du site.

avatar 33man | 

C’est pas MacG qui faisait la promo de volpy ?

avatar xDave | 

@33man

Et?
Je crois que nul n’est à l’abri. Même les gros du digital se font défoncer régulièrement.

D’ailleurs, il y a un vecteur dont on s’offusque peu c’est la quantité de sites mal foutus et pas sécurisés du tout qui sont des nids à spyware potentiel et autres saloperies.
Certains sont infectés sans même en avoir conscience.

avatar imac5k2019 | 

C'est tellement de l'escroquerie les tarif qu'il pratique que je les plains pas

avatar huexley | 

Ca fait toujours plaisir de voir des données aussi sensible que le IBAN soient stockées en clair…

avatar gardiolan | 

@huexley

C'est si sensible que ça, un numéro IBAN ? (Question sérieuse)
Je veux dire, à part faire un virement sur le compte concerné, qu'est-ce qu'on risque ? Les prélèvements sont impossibles sans autorisation. L'IBAN des entreprises figure le plus souvent sur tous leurs documents.

avatar huexley | 

Un exemple concret entendu à la radio il y a quelques semaines. Des personnes malintentionnées faisaient virer de l'argent "sale" sur des comptes de personnes âgées, et récuperais l'argent blanchi grâce a ces "mules".
.

avatar iadry | 

@huexley

Oui enfin ça c’est différent ils profitent des anciens ou faible, mais ils sont consentants et communiquent sciemment l’iban. C’est de l’abus de faiblesse.

avatar huexley | 

a partir du moment ou tu as IBAN nom et adresse le boulot c'est du prémaché

avatar SyMich | 

L'IBAN n'est pas un document "sensible".
Quoi qu'il en soit, il peut très bien être stocké de manière chiffrée mais si l'intrusion se fait via l'identifiant et mot de passe de l'un des gestionnaire de Volpy, il est logique d'avoir accès en clair aux infos! L'IBAN doit bien être lisible par le personnel habilité de Volpy. Donc avec un tel accès on a accès en clair aux documents même ceux qui sont stockés en crypté.

avatar iadry | 

Volpy m’avait promis un tarif (bas) pour mon iPhone X je l’ai envoyé par facilité dans la revente. Il ont simulé des rayures sur la façade arrière et m’ont proposé un tarif de 150€ plus bas. J’ai refusé et récupéré l’iPhone il était vraiment nickel.

Bref tellement d’abus pour brader les prix je suis sur qu’une fois l’iPhone expédié beaucoup renoncent a le récupérer et acceptent le prix.

Autant dire que je ne vais pas les plaindre.

avatar ninotna | 

Idem... moi c’est soit disant le haut parleur ... j’ai récupéré le tel, raté l’occasion de le vendre ailleurs ( ils ont mis 1 moi et demi ) ma compagne l’utilise depuis chaque jour, ça fait 1 an ...
bref une belle arnaque !
J’ai reçu leur mail :

VOLPY CONTRE-ATTAQUE UN PIRATAGE :
AUCUNE COORDONNÉES BANCAIRES COMPROMISES

Chers clients,

Parce que la transparence fait partie de notre cœur de métier, nous tenions à vous informer d’une tentative de violation de données personnelles à laquelle nous avons fait face du 29 janvier au 6 février 2020.

Peut-être avez-vous remarqué une interruption de nos services durant cette période, témoignant de toutes les forces vives que nous avons mises en place afin de lutter contre cette cyberattaque.

Cette tentative aurait conduit à de possibles vols de données d’une partie de nos clients, telles que certaines adresses email, noms, prénoms, numéros de téléphone, adresses postales, commandes associées, adresses Paypal et numéros IBAN.

« Le vol de ces données n’affecte en aucun cas votre sécurité bancaire »

Aucun prélèvement ne peut être effectué depuis un numéro IBAN ou une adresse Paypal : votre sécurité bancaire n’est donc pas affectée par cette cyberattaque. Les coordonnées bancaires de nos clients sont hébergées sur les serveurs sécurisés externes de nos partenaires financiers Oney, Swikly et HiPay. Elles n’ont donc pas été volées lors de cette fraude.

Il est toutefois possible que le cybercriminel utilise certaines de ces informations pour vous contacter à des fins purement malveillantes visant à ternir l’image et la réputation de Volpy. Dans votre intérêt, ne répondez jamais à ces sollicitations frauduleuses qui tenteraient de vous soustraire des informations supplémentaires.

« Volpy porte plainte pour tentative de violation de données personnelles »

Une plainte a été déposée auprès de la Sûreté Départementale le 30/01/2020 (ref PV n*00765/2020/000410) et de la CNIL

avatar Sindanárië | 

@iadry

👍🏽
C’est au moins la 5 eme histoire comme celle ci que je lis.
Pas surprenant !

avatar ninotna | 

ORLM / macg, nombreux sont ceux qui se font sponsorisés. Dès lors qu’on fait confiance à ces sites on se dit naïvement qu’on peut faire confiance à volpy...
Un peu de remise en question serait appréciée

avatar AlexG | 

@ninotna

De la part de qui ? De MacG ?

avatar Taje | 

Volpy m’a prévenu il y a 2 ou 3 jours par email de cet incident. Bizarre la fin de l’article.

avatar Ichigo-Roku | 

Ils sont légalement "obligés" de prévenir leurs clients et la CNIL sous un certain délai (quelques jours). J'ai un peu l'impression qu'ils jouent de ces obligations pour faire penser qu'ils sont réactifs lol.

avatar Darlito | 

Quand je voit le titre :😒

avatar gspot | 

Retour de bâton ! Volpy c’est des mals honnêtes et une escroquerie en bande organisée! Après avoir fait une simulation pour une reprise XS Max 256 avant la sortie du 11 pro, il me proposait 845 euros j’ai envoyé le téléphone aussitôt j’ai été surpris en voyant qu’il m’avait viré 650 ce qui n’était pas convenu ! Je les ai contacté une dizaine de fois avec la capture du test avec prix de reprise affiché, ils ont fait la sourde oreille jusqu’à me proposer un réajustement à 700 euros donc 145 de vol ! Ils savent qu’ 1 client sur 2 sera contraint de céder par perte de temps, sachant également que le retour de l’appareil est bcp trop long. Une escroquerie pure et simple ! Que MacG fasse le pub de Volpy c’est limite complice !

avatar appleadict | 

@gspot

ils ne sont pas les seuls à mettre en oeuvre cette méthode : j'ai revendu 3 produits sur backxxx et ils m'ont fait le coup sur 2 produits ... sans parler du délais pour avoir le virement ...

avatar gspot | 

@appleadict

Ce qu’il faut c’est les déglinguer sur les réseaux pour que les gens soient au courant de leur méthode ! Ce qui est sûr c’est que c’était la première et dernière fois !!!

CONNEXION UTILISATEUR