Selon BleepingComputer, PcComponentes, grand revendeur de technologie en Espagne, a démenti une fuite de données prétendument liée à 16 millions de clients, mais a confirmé avoir subi une attaque par bourrage d’identifiants (credential stuffing).
Le distributeur technologique espagnol PcComponentes a fermement démenti avoir subi une fuite de données massive affectant 16 millions de clients, comme l’affirmait un acteur malveillant sur des forums clandestins.
En revanche, l’entreprise confirme avoir été ciblée par une attaque de type credential stuffing, ayant entraîné la compromission d’un nombre limité de comptes clients.
Un acteur nommé “daghetiaw” affirmait avoir volé une base de données de 16,3 millions d’enregistrements, dont 500 000 auraient été publiquement divulgués, le reste étant proposé à la vente.
📂 Données revendiquées par l’attaquant
Les données présentées sur les forums incluaient :
- Noms et prénoms
- Adresses physiques
- Numéros de téléphone
- Adresses e-mail
- Adresses IP
- Historique de commandes
- Listes de souhaits
- Messages de support client (Zendesk)
👉 PcComponentes affirme qu’aucun accès non autorisé à ses bases de données internes n’a été détecté, et que le chiffre de 16 millions de comptes est largement exagéré.
🔍 Nature réelle de l’incident
L’enquête interne a mis en évidence une attaque automatisée par credential stuffing, reposant sur :
- Des paires email / mot de passe réutilisées, issues d’anciennes fuites
- Des identifiants récupérés via des malwares de type infostealer, selon l’analyse de la société de renseignement Hudson Rock
Hudson Rock indique que toutes les adresses e-mail analysées dans l’échantillon de l’attaquant figuraient déjà dans des journaux d’infostealers, certains remontant à 2020.
🧾 Données effectivement exposées (selon PcComponentes)
Pour les comptes réellement compromis, les données suivantes ont pu être consultées :
- Nom et prénom
- Numéro d’identification nationale
- Adresse postale
- Adresse e-mail
- Numéro de téléphone
- Adresse IP
🚫 Aucun mot de passe ni donnée financière n’est stocké dans les systèmes de PcComponentes, selon l’entreprise.
🛡️ Mesures de remédiation mises en place
PcComponentes a déployé plusieurs mesures de sécurité immédiates :
- Activation de CAPTCHA sur les pages de connexion
- Activation obligatoire de l’authentification à deux facteurs (2FA) pour tous les comptes
- Invalidation de toutes les sessions actives
- Déconnexion forcée de l’ensemble des utilisateurs
Les clients devront activer le 2FA avant de pouvoir se reconnecter.
🧠 TTPs – MITRE ATT&CK (extraits)
- T1110.004 – Credential Stuffing
- T1078 – Valid Accounts
- T1589.002 – Gather Victim Identity Information: Email Addresses
- T1555 – Credentials from Password Stores (via infostealers en amont)
- T1046 – Network Service Discovery (automatisation des tentatives)
- T1566 – Phishing (vecteur initial possible pour les infostealers)
🧾 IOCs observables
Indicateurs techniques
- Aucun hash, domaine ou IP C2 publié officiellement à ce stade
Indicateurs contextuels
- Comptes clients présentant :
- Réutilisation de mots de passe
- Présence dans des logs d’infostealers connus
- Activité de connexion anormale à grande échelle
- Tentatives de login automatisées
Type d’article: article de presse spécialisé rapportant un incident et le démenti officiel de l’entreprise.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/online-retailer-pccomponentes-says-data-breach-claims-are-fake/