Un courriel adressé aux clients de Mondial Relay et Colis Privé signalent un incident de sécurité : des accès non autorisés ont pu exposer des données personnelles liées au suivi logistique, adresses postales. Le pirate avait un accés « employé » !
Mondial Relay et Colis privé viennent d’informer leurs clients d’une cyber attaque. Les deux entreprises indiquent avoir détecté des accès non autorisés à leur plateforme en ligne. Pour Mondial relay, le message d’alerte parle de la plateforme destinée aux e-commerçants, utilisée pour suivre les colis et gérer des demandes clients. L’entreprise prévient que des données personnelles ont potentiellement été exposées : identité, coordonnées, téléphone, ainsi que des informations de suivi (numéros d’expédition et de commande, statuts de livraison détaillés).
Le message envoyé aux clients décrit un incident de sécurité « identifié récemment » dans l’environnement de l’entreprise. Le point d’entrée évoqué est une plateforme en ligne réservée aux e-commerçants, présentée comme un outil de suivi des colis et des demandes clients. Mondial Relay indique y avoir « détecté des accès non autorisés », formulation qui laisse entendre une compromission d’identifiants, une erreur de configuration ou une exploitation technique, sans préciser, à ce stade, la cause exacte. La conséquence mise en avant est claire : une exposition potentielle de données personnelles, et le courriel est adressé aux destinataires parce que leurs informations « ont potentiellement été exposées ».
Dans une logique cyber, le vocabulaire compte. Ici, Mondial Relay ne parle ni de vol confirmé, ni de diffusion, ni d’exfiltration avérée. L’entreprise se place sur le terrain du risque : des tiers ont pu accéder à une interface contenant des données, et cela suffit à déclencher une alerte, des mesures techniques et un processus réglementaire. Cette nuance n’efface pas l’enjeu, car la valeur opérationnelle d’informations logistiques peut être élevée pour des attaques de type ingénierie sociale : les données de livraison, quand elles sont précises, peuvent rendre un message frauduleux plus crédible, au bon moment, avec les bons détails. De son côté, le pirate s’amuse a relayer les articles qui parlent de l’alerte de Mondial Relay et Colis Privé renforcant la crédibilité de sa vente aux yeux des autres pirates informatiques.
Quelles données ont pu être exposées ?
Depuis le mois de septembre 2025, et plus exactement le 28 septembre 2025 dans un forum pirate autre que BreachForums, un malveillant du nom de « LaFin » annonçait la mise en vente d’un accés à Mondial Relay. Le pirate n’en dira pas plus et disparaitra aprés que son compte soit banni sur le forum en question et son message retiré. Je noterai qu’il est trés rare que les messages soient retirés lors du bannissement d’un internaute sur ce type d’espace pirate. Preuve que le message gené et qu’un des administrateurs ne souhaitait laisser aucune trace de cette petite annoncée. Le Service de Veille ZATAZ vous en propose une copie ci-dessous.
La mise en vente du 26 décembre 2025.
Une semaine plus tard, voici de retour le pirate DumpSec [un malveillant qui ne semble pas être apprécié par d’autres pirates]. Ce dernier a signé la mise en vente des deux bases de données : Mondial Relay et Colis Privé. Le pirate, qui signe « Russia – France Alliance ». Il parle de 25,7 millions de lignes pour colis privé ; 400 000 lignes pour Mondial Relay. Ce dernier cas devient interessant car il semble bien prouve un accés direct, comme employé, dans les secrets de Mondial Relay. Un troisiéme pirate viendra d’ailleurs ettayer cette possibilité. Closed affichait le 21 décembre, une vente à hauteur de 5000 dollars donnés accès au « panel » de Mondial Relay. Comprenez, il suffit de taper l’identité d’un client pour receuillir sa fiche. DumpSec semble avoir eu accés à cet élèment et à ensuite scappé (aspiré) le contenu de la base de données. Dans les échantillons diffusés par ce malveillant, la date du 9 décembre 2025 est la plus récente (de l’échantillon).
La vente de 5000$ du 21 décembre 2025 (ou 25$ la fiche client).
Comment est-ce possible ?
Nous avons à faire depuis plusieurs mois à une petite bande d’à peine une vingtaine de personnes qui s’est étiollée aux grés des actions des autorités. Aujourd’hui, ils sont une petite dizaine (dans certains cas, plusieurs pseudonymes cachent une seule et uniquement personne). Les informations sensibles et personnelles collectées dans des infos stealers ont permis des accés à des panels d’entreprises. Dans d’autres situations, des employés ont été payés pour fournir un accés. Bilan, le pirate devient l’employé. Les amateurs de bandes dessinés connaissant la BD Iznougoud permet de traduire cette infiltration par « Vizir à la place du Vizir ». Dans certaines situations, les données dans les mains des pirates divergent. Certains préférent les garder en accés directe dans l’entreprise infiltrée. D’autres visent la copie globale pour une exploitation massive et des revenus plus rapides.
Le 28 septembre un pirate proposait à la vente l’accés « live » à Mondial Relay.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
