Sécurité : Experian revendait des données personnelles à des fraudeurs

hp-securite-applications-web

Mauvais trip pour Experian. Ce spécialiste des moyens de paiement et du CRM a découvert qu’une société qu’il avait rachetée vendait des données personnelles de citoyens américains à un site pirate.

Selon le site KrebsOnSecurity, un site spécialisé dans le vol de données personnelles (numéros de sécurité sociale, permis de conduire, cartes de crédit…) achetait ses informations auprès d’Experian, une entreprise irlandaise spécialiste de l’information et de la relation client ainsi que des moyens de paiement. Une entreprise ayant pignon sur rue (elle est ainsi présente en France depuis 1998).

Brian Krebs, le journaliste qui tient ce blog spécialisé, explique dans une longue enquête que la trace qui l’a mené à Experian trouve sa source dans un précédent article rédigé en 2011 à propos de Superget.info, un site vendant des informations personnelles volées en utilisant des monnaies virtuelles. A l’époque, le journaliste avait noté que chacune de ces informations volées était accompagnée d’une abréviation de deux ou trois lettres. Le mystère est resté entier jusqu’à ce que la piste soit réveillée par les commentaires récents d’un lecteur.

Experian pas assez regardant ?

Ce dernier a emmené Brian Krebs sur une piste menant à Court Ventures, une société américaine spécialisée dans l’agrégation de données rachetée en 2012 par Experian. Selon la source citée par Brian Krebs – un partenaire de Court Ventures nommé US Info Search ; les deux sociétés ayant un accord d’échange de données -, les administrateurs de Superget.info auraient eu accès aux bases de données d’Experian en se faisant passer pour un client lambda.

Ce partenaire de Court Ventures, dont les données se sont ainsi retrouvées en vente sur le site pirate, explique avoir été contacté par un agent des services secrets américain, qui a indiqué avoir obtenu une citation à comparaître d’Experian. En cause : la passivité de l’entreprise dont les soupçons n’ont pas été éveillés par quelques incohérences dans l’attitude de leur « client », dont le mode de paiement, un virement émanant de Singapour.

Un piège pour le pirate vietnamien

Dans un email à Brian Krebs, Experian reconnaît avoir été informé par les autorités américaines des activités litigieuses de sa filiale Court Ventures. Activités qui se sont poursuivies après le rachat. La société explique avoir mis fin à ces pratiques et avoir collaboré avec les autorités pour mettre fin aux agissements de Hieu Minh Ngo, le citoyen vietnamien soupçonné d’avoir mis sur pied Superget.info. Selon Brian Krebs, ce dernier aurait déjà été arrêté, des agents américains l’ayant attiré dans un piège, sur l’île de Guam, un territoire des Etats-Unis.

Récemment, Brian Krebs a publié une enquête similaire, montrant comment un site de fraude concurrent de Superget.info se fournissait chez de grands noms des bases de données aux Etats-Unis (LexisNexis, Kroll et Dun & Bradstreet), en utilisant des failles dans leurs systèmes d’information.


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes