Crédit d’image : Andrew Brookes/Getty Images

Une violation de données chez le fournisseur français de jeux en nuage Shadow aurait pu être pire que ce que la société pensait initialement, selon un échantillon de données volées consulté par TechCrunch.

Dans un e-mail envoyé cette semaine aux clients concernés, la société parisienne Shadow a déclaré qu’un pirate informatique avait mené une « attaque d’ingénierie sociale avancée » contre l’un de ses employés, permettant l’accès aux données personnelles des clients. Dans l’e-mail, le PDG de Shadow, Eric Sèle, a déclaré que cela incluait le nom complet, l’adresse e-mail, la date de naissance, l’adresse de facturation et la date d’expiration de la carte de crédit.

TechCrunch a obtenu un échantillon de données volées contenant 10 000 enregistrements uniques auprès du pirate informatique qui a revendiqué la responsabilité de la cyberattaque. Les pirates, qui ont publié des articles sur la violation sur un forum de piratage populaire, ont affirmé avoir accédé aux données de plus de 530 000 clients Shadow et les avoir proposées à la vente après avoir déclaré que les données avaient été « délibérément ignorées » par l’entreprise.

TechCrunch a vérifié certains des enregistrements volés en faisant correspondre les adresses e-mail uniques du personnel trouvées dans l’ensemble de données à l’aide du formulaire d’inscription du site Web, qui renvoyait une erreur si les adresses e-mail étaient déjà trouvées dans le système. Certains de ces comptes du personnel fantôme ont été enregistrés en utilisant adresse e-mail de l’entreprise avec le caractère générique « plus ». contient une longue chaîne de lettres et de chiffres propres à Shadow.

D’après les données que nous avons consultées, les adresses de facturation de nombreux clients correspondent aux adresses privées. L’ensemble de données que nous avons examiné comprenait également des clés API privées correspondant aux comptes clients, même s’il n’est pas clair si ces clés sont accessibles aux clients. La collecte de données comprend également des informations non personnelles concernant les comptes clients, telles que le statut de l’abonnement et si le compte a été « sur liste noire ».

Les derniers enregistrements des données volées montrent que Shadow a été piraté le 28 septembre ou peu après. Dans un e-mail envoyé aux personnes touchées par l’incident, qui n’a pas été publié sur le site Web de Shadow ni partagé sur les réseaux sociaux de l’entreprise, Shadow a déclaré qu’il avait été piraté « fin septembre » après qu’un employé ait téléchargé un jeu Steam chargé de logiciels malveillants via Discord. .

Le porte-parole de l’ombre, Thomas Beaufils, n’a pas voulu commenter lorsqu’il a été envoyé par courrier électronique vendredi, mais n’a pas contesté les conclusions. On ne sait pas si Shadow a informé le régulateur français de la protection des données, la CNIL, de la violation, comme l’exige la législation européenne. Un porte-parole de la CNIL n’a pas immédiatement répondu à une demande de commentaire.

Séparément, Valve cette semaine mandaté des contrôles d’authentification à deux facteurs pour les développeurs après que les comptes de plusieurs développeurs de jeux ont été récemment compromis et utilisés pour mettre à jour leurs jeux avec des logiciels malveillants. On ne sait pas si cela est lié à la faille Shadow, et Valve n’a pas répondu aux questions de TechCrunch.

Zack Whittaker a contribué au reportage.