Le site de commerce en ligne ChassezDiscount.com fait l’objet d’une revendication de fuite de données publiée sur un forum cybercriminel. L’auteur affirme détenir une base couvrant la période de 2021 à mars 2026, représentant près de 2 millions de comptes clients et plus de 6 Go de données.
Les échantillons diffusés montrent une fuite particulièrement sensible, mêlant informations personnelles, adresses postales, historiques de commandes et données de paiement partiellement masquées.
Des données clients très complètes
Les exemples publiés contiennent notamment des informations habituellement stockées dans les bases clients d’un site e-commerce :
- Noms et prénoms ;
- Adresses e-mail ;
- Dates de naissance ;
- Adresses postales complètes ;
- Numéros de téléphone ;
- Historique de commandes ;
- Informations de livraison ;
- Préférences marketing ;
- Mots de passe hachés ;
- Références de paiement.
Les mots de passe semblent être stockés sous forme de hachages bcrypt, ce qui limite leur exploitation directe mais ne supprime pas le risque en cas de mots de passe faibles ou réutilisés sur d’autres services. :contentReference[oaicite:1]{index=1}
Des adresses et numéros de téléphone exposés
Les échantillons montrent également la présence d’adresses complètes de clients, associées à leurs coordonnées téléphoniques et à leur adresse e-mail. Ces informations peuvent être utilisées pour des campagnes de phishing ciblées, des arnaques téléphoniques ou des tentatives d’usurpation d’identité.
La présence de plusieurs années d’historique permet en outre de reconstituer les habitudes d’achat de certains clients ainsi que leurs lieux de résidence.
Des données de paiement également concernées
Parmi les éléments les plus sensibles figurent des informations liées aux paiements. Les échantillons diffusés contiennent des références de transactions, le type de carte bancaire utilisée, sa date d’expiration ainsi que des numéros partiellement masqués.
Aucun cryptogramme visuel (CVV) n’apparaît dans les exemples consultés et les numéros de cartes ne sont pas complets. Néanmoins, ces informations peuvent être exploitées dans des scénarios d’ingénierie sociale visant à gagner la confiance des victimes.
Une fuite qui semble toucher l’ensemble de la plateforme
La liste des tables revendiquées suggère un accès étendu à l’infrastructure de la boutique. Les données concernent non seulement les clients, mais également les commandes, les paiements, les messages du support, les journaux techniques, les employés et différentes informations liées à l’administration de la plateforme.
Cette diversité de données pourrait indiquer une compromission directe de la base de données principale plutôt qu’une simple fuite limitée à un service tiers.
Quels risques pour les clients ?
Les personnes concernées pourraient être exposées à une augmentation des tentatives de phishing, de faux remboursements, d’arnaques à la livraison ou de campagnes de fraude se faisant passer pour ChassezDiscount ou ses transporteurs.
Par mesure de précaution, les clients utilisant le même mot de passe sur plusieurs services devraient envisager de le modifier rapidement et rester particulièrement vigilants face aux communications non sollicitées mentionnant une commande ou un paiement.
À l’heure de la publication, aucune communication officielle de ChassezDiscount concernant cette revendication n’a été identifiée.