Startup Spliiit : une histoire insolite de piratage informatique
Les faits dont il s’agit ici implique une start-up Française connue sous le nom de Spliiit.
Elle a été créée en mai 2019 et un spécialisée dans la gestion des partages de compte de plusieurs services streaming tels que Amazon Prime, Netflix ou des réseaux VPN. Un secteur qui est très délicat car se trouvant à la croisée de ce qui est légal et illégal. Mais ce risque a été reconnu dès le départ par les fondateurs de la start-up et ces derniers étaient prêts à les assumer. C’est une plate-forme web qui séduit assez beaucoup d’utilisateurs que ce soit en français, en portugais, en italien ou même en anglais.
Cet article va aussi vous intéresser : Quand un programme malveillant copie un autre pour plus d’efficacité
Le problème c’est que le 5 juillet dernier, la société française on se trouve dans une situation assez gênante mais class. En effet, plusieurs centaines d’utilisateur reçoivent un mail inquiétant provenant d’une adresse courriel liée à la start-up le jour sus-indiqué. Le message se précise en ces termes. « Votre compte a été suspendu ».
« Nous avons remarquer que votre carte de paiement a été refusée, Nous avons donc pris la décision de suspendre temporairement ton compte jusqu’à que tu mettes à jour tes informations. Il vous suffit de cliquer sur le bouton ci-dessous pour mettre à jour tes informations et utiliser pleinement nos services. », peut-on lire dans le mail.
Bien évidemment pour une personne avisée, le mail est clairement une tentative de phishing. Dans la lecture envoie un décalage total entre le vouvoiement de début et l’équipement de la fin. Une faute de grammaire de la première phrase ou encore une ponctuation non parfaite. Autant de fautes et de signes qui permettent d’attirer l’attention d’une personne avisée et prudente.
Certains utilisateurs qui ont reçu ce mail en automatiquement compris l’entourloupe. C’est d’ailleurs le cas de Antony, qui après avoir reçu le mail à immédiatement informer la start-up française via le compte Twitter de celle-ci.
« Deux heures plus tard, je recevais un mail d’alerte de Spliiit sur ce cas », précise ce dernier.
La start-up française pour s’assurer de l’avertissement a publié par la suite un message portant le titre « IMPORTANT » via plusieurs réseaux sociaux dans le but d’avertir le maximum d’utilisateur et à temps.
D’une certaine manière on aurait pu dire que l’histoire pourrait s’arrêter là, pourtant les choses sont beaucoup plus compliquées qu’elles en avaient l’air. En effet, Spliiit était victime d’une cyberattaque.
Effectivement, en y regardant de près, l’adresse mail utilisé pour la campagne de phishing porte est bel et bien le nom de la société française, une adresse qui porte assez bien le nom de domaine du site officiel de la start-up. Il a bien vrai que de telles affichages peuvent-être manipuler. Mais après vérification approfondie, le courrier électronique reçu par les clients de la start-up française venait bel et bien du service de messagerie de cette dernière.
Cependant à y regarde de près en et d’autres pas du caractère peu convaincant et malveillant surtout de l’e-mail surtout qu’il renvoie vers « spliiit.me », une usurpation de site internet du site officiel de Spliiit. Une usurpation pas très réussie. Sur ce site on pouvait voir apparaître un formulaire intitulé « adresse de facturation ». Celui-ci demande à l’internaute certaines informations telles que le prénom, le nom, le numéro de téléphone, l’adresse postale ainsi que la date de naissance de ce dernier. Une fois que ce dernier rempli ce formulaire, un formulaire de paiement identique à celui de la start-up française apparaît. L’internaute et alors invité à y entrer ces informations financières telles que son numéro de compte bancaire, etc… Et lorsqu’il finit ceci il est ensuite d’ériger vers le site internet officiel de Spliiit, à savoir spliiit.com.
On peut résumer tout ceci par mettre en évidence une campagne de phishing assez simple et efficace.
Le cybercriminel derrière ce piratage informatique et cette campagne de phishing associé se fait appeler « Slvsher ». Dans son action il a réussi à mettre la main sur les informations de près de 200 000 utilisateurs. Des données composées identifiant de connexion tel que de mot de passe ou des informations de nature bancaire.
Dans ces commentaires en ligne, on peut clairement observer que ce dernier s’amuse de la situation. Lorsqu’il est interrogé par les enquêteurs il répond sans se gêner. À la question de savoir ce qui l’aurait bien motivé, ce dernier répond : « Je voulais juste me faire un peu de sous ». « J’ai vu une pub de leur site sur TikTok », explique ce dernier. « J’ai déjà exploité beaucoup d’autres sites pour me faire de l’argent », comme pour signifier qu’il n’est pas à sa première tentative. « J’ai juste récupéré la base de données de Spliiit, mais ils ne veulent pas assumer », souligne ce dernier.
En clair il a réussi à rassembler beaucoup d’informations, qu’elles soient personnelles ou financières. « Les comptes je m’en fous en peu en vrai. Moi, c’est les données bancaires qui m’intéressent », précise le pirate informatique.
« Je vais lancer un autoshop [un site de vente en ligne facile à monter, ndlr] pour vendre tout ça. », de la sorte il pense pouvoir récupérer des gains de sa cyberattaque. : « les cartes de crédit, ça se vend facile 15 ou 20 euros, après ça dépend du niveau de la carte (genre gold, classique, etc…), et pour la base de données, ça peut vite chiffrer. », note l’hacker.
Si d’une certaine manière ce phishing a pu fonctionner sur beaucoup d’utilisateurs de la plateforme de Spliiit, Il n’empêche que des utilisateurs se moquent de lui et de ses ratés sur Twitter. La start-up française commente même cette vague de moquerie : « ‘Quand ils font un effort, mais pas trop‘ ». Un profil ressemblant à celui du pirate informatique réagit alors au moqueries : « Vous voulez faire les gamins ? Bah jvais faire le gamin ».
La question est donc de savoir comment ce dernier a pu réaliser cet exploit. Selon les dires de pirates informatiques lui-même, il aurait lancé une opération grâce à une « misconfiguration du Laravel », un outil qui est utilisé pour construire l’application Web de la plate-forme de Spliiit.
Selon les explications Adrien Jeanneau, les développeurs de la plate-forme ont commis une erreur. Celui d’avoir laissé activer le mode débug de Laravel. « Avec un outil de scan qu’on se procure facilement et gratuitement, on peut détecter si le mode débug est activé ».
Accédez maintenant à un nombre illimité de mot de passe :