Une importante fuite de données attribuée à Smartbox, spécialiste européen des coffrets cadeaux et expériences de loisirs, a été publiée sur un forum cybercriminel. Selon l’auteur de la revendication, plus de 60 000 comptes utilisateurs ainsi que plus de 200 000 documents contractuels auraient été récupérés depuis les systèmes de l’entreprise.
Fondée en France, Smartbox commercialise des coffrets cadeaux dans de nombreux pays européens, couvrant des domaines tels que les séjours, la restauration, le bien-être ou les activités sportives. La fuite semble toutefois concerner principalement les outils internes utilisés pour la gestion des partenaires commerciaux et des prestataires référencés par le groupe.
Plus de 60 000 comptes présents dans la base
Le premier fichier publié contient plus de 60 500 comptes utilisateurs. Les champs visibles montrent la présence de nombreuses informations professionnelles et administratives.
- Nom et prénom ;
- Adresse e-mail ;
- Numéros de téléphone ;
- Nom d’entreprise ;
- Fonction occupée ;
- Département ;
- Adresse professionnelle ;
- Ville, code postal et pays ;
- Date de dernière connexion ;
- Informations linguistiques et fuseau horaire ;
- Identifiants internes de gestion.
Les données observées ressemblent à des informations issues d’une plateforme CRM utilisée pour gérer les relations avec les partenaires commerciaux du groupe plutôt qu’à une base de clients ayant acheté un coffret cadeau.
Plus de 200 000 contrats et documents associés
L’élément le plus notable de cette fuite concerne un second fichier contenant plus de 202 000 enregistrements liés à des accords contractuels.
Les échantillons publiés font apparaître des références à des hôtels, restaurants, établissements touristiques et partenaires commerciaux ayant signé des accords avec Smartbox.
- Nom des partenaires ;
- Statut des contrats ;
- Dates de signature ;
- Liens vers les documents PDF ;
- Références Salesforce ;
- Identifiants Adobe Sign ;
- Historique de validation ;
- Données de gestion des contrats.
Les exemples publiés montrent notamment des contrats liés à des hôtels européens, avec des références complètes permettant d’identifier les partenaires concernés.
Une infrastructure Salesforce visiblement concernée
Les données diffusées comportent de nombreuses références associées à Salesforce ainsi qu’à Adobe Sign (anciennement EchoSign), deux plateformes largement utilisées pour la gestion commerciale et la signature électronique de documents.
Les noms des fichiers, les identifiants techniques et les liens présents dans les échantillons suggèrent que la fuite pourrait provenir d’un environnement CRM ou d’un outil de gestion documentaire connecté à ces services.
Des partenaires commerciaux davantage concernés que les consommateurs
Contrairement à certaines fuites touchant directement les acheteurs finaux, les éléments publiés semblent principalement concerner l’écosystème professionnel de Smartbox : hôtels, restaurants, prestataires de loisirs, partenaires commerciaux et collaborateurs utilisant les outils du groupe.
Aucun exemple ne montre pour l’instant de données de paiement de consommateurs ou de codes de coffrets cadeaux. Toutefois, l’ampleur des fichiers revendiqués ne permet pas d’exclure la présence d’autres catégories d’informations dans les archives complètes.
Quels risques après cette fuite ?
La divulgation de coordonnées professionnelles, de contrats et d’informations commerciales détaillées pourrait faciliter des campagnes de phishing particulièrement crédibles visant les partenaires de Smartbox.
Des attaquants pourraient notamment se faire passer pour Smartbox, Salesforce ou Adobe Sign afin d’inciter des partenaires à ouvrir des documents frauduleux, à communiquer des identifiants ou à valider de faux contrats.
La présence de dates de connexion, d’informations organisationnelles et de références contractuelles constitue également une source précieuse pour préparer des attaques d’ingénierie sociale ciblées.
Aucune communication officielle identifiée
Au moment de la publication de cet article, aucune communication officielle de Smartbox concernant cette revendication n’avait été identifiée. L’origine exacte de la fuite ainsi que son périmètre réel restent à confirmer.