Un vol de données client a été détecté chez CDiscount le 29 janvier. Il s’agit d’un acte qui émanerait d’un cadre de l’entreprise selon une enquête menée en interne. CDiscount déclare par communiqué le 6 février avoir porté plainte auprès du Parquet de Bordeaux. Une enquête de la police judiciaire est en cours.
Les données bancaires ne sont pas concernées
CDiscount indique que ses services de cybersécurité ont détecté l’attaque. Il n’y a pas eu d’intrusion externe. CDiscount souligne que les données bancaires des clients ne sont pas concernées car le le site e-commerce ne les stocke pas. Les données concernées par ce vol sont les nom, prénom, sexe, adresse personnelle, email, téléphone et le montant total des commandes de ces deux dernières années.
Le vol est attribué à un cadre de l’organisation qui aurait cherché à commercialiser les données de 33 millions de clients de CDiscount sur le Darkweb. A ce stade, CDiscount affirme qu’aucun élément ne permet de confirmer que ces données aient été vendues. Le Parisien déclare qu’il s’agit du directeur de la logistique situé à Cestas. Il a été déferré et mis en examen le 1er février dernier par un juge d’instruction pour « atteinte à un système de traitement automatique de données, vol de données, escroquerie et abus de confiance ». Il aurait déclaré que son mot de passe lui avait été dérobé donnant accès à la base de données des clients.
Un vol commis avec des autorisations légitimes
Pour CDiscount, il s’agit d’un acte de malveillance interne et isolé. Le e-commerçant déclare que son enquête montre que l’acte a été commis par un cadre de l’organisation disposant des autorisations légitimes compte tenu de ses fonctions. Il ne s’agit pas d’une défaillance des systèmes de sécurité de l’entreprise. CDiscount considère à ce stade que les données des clients qui ont été dérobées peuvent servir à des attaques par phishing ou à de la prospection commerciale non désirée. Le vol a été déclaré auprès de la Cnil. Cdiscount appelle ses clients à la plus grande vigilance et leur recommande de ne jamais communiquer leurs coordonnées bancaires ni leur mot de passe par SMS ou email.