Une base de données attribuée à Carvivo circule actuellement sur un forum cybercriminel. L’auteur de la publication affirme avoir compromis la plateforme SaaS utilisée par de nombreux groupes automobiles et concessions pour gérer leurs prospects et leurs contacts commerciaux.
Selon la revendication, les données concerneraient plusieurs millions d’automobilistes ainsi que plus de 1 700 concessions et garages répartis en France et en Europe.
Une plateforme utilisée par les grands groupes automobiles
Fondée en 2016, Carvivo développe des solutions de gestion de prospects destinées aux concessionnaires automobiles. La plateforme centralise les demandes provenant des sites web, formulaires, appels téléphoniques et campagnes publicitaires afin d’aider les vendeurs à convertir les prospects en acheteurs.
Le service serait utilisé par plus de 1 700 points de vente et plusieurs grands groupes automobiles européens.
- Stellantis & You
- CAR Avenue
- Car Lovers
- SOFIDA Auto
- Vikings Auto
Plus de 8 millions de prospects automobiles exposés
Le premier ensemble de données revendiqué contiendrait les informations de plus de 8 millions de prospects ayant effectué des demandes concernant l’achat ou l’entretien de véhicules.
- Nom et prénom
- Adresse e-mail
- Numéro de téléphone
- Véhicule recherché
- Prix du véhicule
- Kilométrage
- Immatriculation
- Numéro VIN
- Historique des échanges commerciaux
- Commentaires des vendeurs
- Demandes de devis
- Concession concernée
Les échantillons publiés montrent également les notes internes laissées par les commerciaux, les dates de relance prévues ainsi que l’historique complet du traitement de certains prospects.
Un second fichier contenant 6 millions de contacts
Un deuxième ensemble de données regrouperait environ 6 millions de prospects et clients issus de différentes concessions automobiles.
- Nom et prénom
- Adresse e-mail
- Numéro de téléphone
- Point de vente associé
- Date du premier contact
- Date du dernier contact
- Nombre de leads actifs
- Historique commercial
- Statut marketing et consentement
Le cybercriminel affirme disposer de 3,2 millions d’adresses e-mail uniques ainsi que de plus de 5 millions de plaques d’immatriculation associées à leurs véhicules.
Des informations particulièrement sensibles pour le secteur automobile
La présence simultanée des coordonnées des prospects, des véhicules recherchés, des immatriculations et des commentaires internes des commerciaux constitue un risque important pour les personnes concernées.
Ces informations pourraient être utilisées pour mener des campagnes de phishing extrêmement crédibles en se faisant passer pour une concession, un constructeur ou un service après-vente. Les données relatives aux véhicules peuvent également servir à des tentatives de fraude administrative ou à des opérations d’usurpation d’identité.
Une fuite potentiellement majeure pour l’automobile française
Si l’ampleur des données revendiquées se confirment, il s’agirait de l’une des plus importantes expositions de données observées ces dernières années dans le secteur automobile français.