Zola, une startup de planification de mariage qui permet aux couples de créer des sites Web, des budgets et des registres de cadeaux, a confirmé que les pirates avaient eu accès aux comptes d’utilisateurs mais a nié une violation de ses systèmes.
L’incident a été révélé pour la première fois au cours du week-end après que les clients de Zola se soient rendus sur les réseaux sociaux pour signaler que leurs comptes avaient été piratés. Certains ont signalé que des pirates avaient épuisé les fonds détenus sur leurs comptes Zola, tandis que d’autres ont déclaré que des milliers de dollars avaient été débités de leurs cartes de crédit.
Dans une déclaration donnée à TechCrunch, la porte-parole de Zola, Emily Forrest, a déclaré que des comptes avaient été piratés à la suite d’une attaque de bourrage d’informations d’identification, où des ensembles existants de noms d’utilisateur et de mots de passe exposés ou violés sont utilisés pour accéder à des comptes sur différents sites Web qui partagent le même ensemble de crédits.
« La grande majorité des couples Zola n’ont pas été touchés, mais nous nous excusons profondément auprès de ceux qui ont détecté une activité de compte irrégulière », a déclaré Forrest. « Notre équipe a agi le plus rapidement possible pour protéger notre communauté de couples et d’invités, et nous avons pu bloquer toutes les tentatives de transferts frauduleux. »
TechCrunch a vu des messages d’une chaîne Telegram montrant des membres discutant et publiant des captures d’écran accédant à des comptes d’utilisateurs via l’application Zola. L’un des messages du chat Telegram indique de « s’assurer » d’utiliser l’application et non le site. Les captures d’écran partiellement expurgées montrent les pirates commandant des cartes-cadeaux à partir du compte d’un utilisateur – y compris en utilisant la carte de crédit enregistrée auprès de Zola – qui sont envoyées à l’adresse e-mail des pirates une fois la commande passée. Les cartes-cadeaux sont souvent le choix de prédilection des cybercriminels, car elles peuvent être notoirement difficiles à retracer.
Zola a confirmé les commandes de cartes-cadeaux et a déclaré que la société « travaillait rapidement » pour les corriger. « La grande majorité des commandes de cartes-cadeaux ont déjà été remboursées et 100% seront remboursées d’ici la fin de la journée », a déclaré Forrest à TechCrunch. « Toute action qu’un couple n’a pas entreprise sera corrigée. »
Zola a déclaré avoir temporairement suspendu ses applications iOS et Android pendant l’incident et réinitialisé tous les mots de passe des utilisateurs par « abondance de prudence ».
Zola a déclaré que moins de 0,1 % des comptes avaient été compromis, mais n’a pas précisé à combien d’utilisateurs cela correspondait. Zola a également refusé de répondre à nos questions concernant l’absence d’authentification à deux facteurs (2FA) actuellement proposée aux utilisateurs, ce qui permet de protéger les comptes contre les attaques de credential stuffing.
« Notre équipe d’assistance travaille sans relâche pour répondre à chaque client concerné, et nous apprécions vraiment leur patience », a ajouté Forrest. « Nous garantissons que tout problème client en suspens sera résolu et traité. »
Dans un tweet, la société a exhorté les utilisateurs qui ont vu des fonds volés ou des transactions frauduleuses à envoyer un e-mail à son équipe d’assistance. Forrest a déclaré à TechCrunch que « tous les fonds, cartes de crédit et informations bancaires continuent d’être protégés » et que « tous les fonds en espèces ont été restaurés ».
Mis à jour avec un commentaire supplémentaire de Zola.
Si vous travaillez chez Zola ou si vous en savez plus sur l’incident de sécurité, contactez le bureau de sécurité de Signal au +44 1536 853968.