Il est resté silencieux sur la violation de données car les données piratées semblaient réelles.

Crédits images : Andrew Brooks/Getty Images

La violation de données chez la société française de jeux en nuage Shadow pourrait avoir été pire que ce que la société avait initialement suggéré, selon un échantillon de données volées consulté par TechCrunch.

Dans un e-mail envoyé cette semaine aux clients concernés, la société Shadow, basée à Paris, a déclaré qu’un pirate informatique avait mené une « attaque avancée d’ingénierie sociale » contre l’un de ses employés, permettant l’accès aux données privées des clients. Dans l’e-mail, le PDG de Shadow, Eric Seely, a déclaré que cela incluait les noms complets, les adresses e-mail, les dates de naissance, les adresses de facturation et les dates d’expiration des cartes de crédit.

TechCrunch a obtenu un échantillon des données volées contenant 10 000 enregistrements uniques auprès du pirate informatique qui a revendiqué la responsabilité de la cyberattaque. Le pirate informatique, qui a publié un article sur le piratage sur un forum de piratage populaire, affirme avoir accédé aux données de plus de 530 000 clients de Shadow et propose ces données à la vente après avoir déclaré qu’elles avaient été « délibérément ignorées » par l’entreprise.

TechCrunch a vérifié une partie des enregistrements volés en faisant correspondre les adresses e-mail uniques des employés trouvées dans l’ensemble de données à l’aide du formulaire d’inscription du site Web, qui renvoie une erreur si une adresse e-mail est déjà trouvée dans le système. De nombreux comptes d’employés fantômes sont enregistrés à l’aide de Adresses e-mail d’entreprise contenant le caractère générique « plus ». Ils contiennent de longues chaînes de lettres et de chiffres propres à Shadow.

Parmi les données que nous avons consultées, les adresses de facturation de nombreux clients correspondaient à des adresses privées. L’ensemble de données que nous avons vu comprend également des clés API privées qui correspondent aux comptes clients, bien qu’il ne soit pas clair si les clients ont accès à ces clés. L’ensemble de données comprend également des informations non personnelles liées aux comptes clients, telles que le statut de l’abonnement et si les comptes ont été « sur liste noire ».

L’historique le plus récent des données volées indique que Shadow a été compromis le 28 septembre ou peu de temps après. Dans un e-mail envoyé aux personnes touchées par l’incident, qui n’a pas encore été publié sur le site Web de Shadow ni partagé sur les réseaux sociaux de l’entreprise, Shadow a déclaré qu’il avait été piraté « fin septembre » après qu’un employé ait téléchargé un logiciel Steam rempli de logiciels malveillants. jeu. Via Discord.

Le porte-parole de l’ombre, Thomas Bovels, n’a pas fait de commentaire dans son courrier électronique vendredi, mais n’a pas remis en question les conclusions. On ne sait pas si Shadow a signalé la violation au régulateur français de la protection des données, la CNIL, comme l’exige la loi européenne. Un porte-parole de la CNIL n’a pas immédiatement répondu à une demande de commentaire.

Séparément, Valve cette semaine Attribué Vérifications d’authentification à deux facteurs pour les développeurs après que les comptes de plusieurs développeurs de jeux ont été récemment piratés et utilisés pour mettre à jour leurs jeux avec des logiciels malveillants. On ne sait pas si cela est lié à la faille Shadow, et Valve n’a pas encore répondu aux questions de TechCrunch.

Zach Whitaker a contribué au reportage.