Le constructeur automobile Škoda, filiale du groupe Volkswagen, a confirmé avoir été victime d’une intrusion visant sa boutique en ligne.
Selon l’entreprise, des attaquants ont exploité une faille de sécurité dans le logiciel utilisé pour gérer la plateforme e-commerce, leur permettant d’accéder potentiellement aux données de clients.
Des identifiants et données personnelles potentiellement compromis
Les informations concernées incluent notamment :
- Noms et prénoms
- Adresses postales
- Adresses email
- Numéros de téléphone
- Détails des commandes
- Identifiants de connexion
- Mots de passe chiffrés
Škoda précise que les mots de passe étaient stockés sous forme chiffrée. Néanmoins, même lorsqu’ils sont protégés, ces identifiants peuvent représenter un risque important si les utilisateurs réutilisent le même mot de passe sur plusieurs services.
Le constructeur affirme en revanche que les données complètes des cartes bancaires ne sont pas stockées directement sur la plateforme et n’auraient pas été compromises.
La boutique désactivée après la découverte de l’intrusion
Dès la détection de l’incident, Škoda indique avoir suspendu l’accès à sa boutique en ligne afin de sécuriser les systèmes et corriger la faille exploitée.
Une société spécialisée en investigation numérique a également été mandatée pour analyser l’attaque et déterminer si des données ont effectivement été exfiltrées durant la compromission.
L’incident a été signalé à l’autorité compétente en matière de protection des données conformément aux obligations du RGPD.
Des risques de phishing et de réutilisation des mots de passe
Škoda recommande aux utilisateurs concernés de modifier rapidement leur mot de passe sur la boutique ainsi que sur tous les autres services utilisant le même identifiant.
Les cybercriminels pourraient utiliser les informations compromises pour envoyer de faux emails ou SMS se faisant passer pour le constructeur, notamment autour de commandes, garanties ou services automobiles.
Le groupe Volkswagen avait déjà été confronté à plusieurs incidents de cybersécurité ces dernières années, notamment après des revendications visant certaines de ses marques comme Audi, Porsche ou Lamborghini.