Environ 3,5 millions de disques du détaillant de mode Sabo ont été violés. Photo: fourniture
Plus de 3,5 millions de disques ont été publiés par le détaillant de mode australien Sabo après que la base de données ne reste pas garantie sur Internet.
Jeremiah Fowler, un chercheur en sécurité connu pour identifier de grands ensembles de données sur Internet, a découvert une base de données sans mot de passe non cryptée contenant 3,58 millions de documents PDF.
Comme divulgué à VPNmentor, Fowler a analysé « l’échantillonnage limité » des données totalisant 292 Go et trouvé des informations personnellement identifiables, y compris les noms, les adresses physiques, les adresses e-mail, les numéros de téléphone, etc.
La base de données comprenait également des factures de vente au détail et des clients commerciaux, des feuillets d’emballage, des documents de retour et des détails de commande.
En outre, Fowler s’est rendu compte que le nombre de clients potentiellement affectés pourrait être supérieur au nombre total de PDF dans la base de données.
« Dans un fichier PDF, il y avait 50 pages de commande individuelles », a expliqué Fowler.
« Les dossiers semblaient appartenir au système de stockage de gestion des documents internes utilisés pour suivre les ventes et les retours, ainsi que les documents d’expédition nationaux et internationaux correspondants. »
Après avoir observé divers fichiers avec des dates entre 2015 et 2025, Fowler a déclaré que la base de données et ses enregistrements « probablement » appartiennent à la marque de mode basée à Brisbane Sabo (standardisé sous le nom de SABO).
Les enregistrements semblaient appartenir à Sabo, mais Fowler n’était pas sûr si la base de données elle-même était gérée en interne ou par un entrepreneur tiers.
Sabo vend des lignes de vêtements exclusives dans des emplacements physiques en NSW et dans le Queensland, et les vend aux clients du monde entier via des magasins en ligne.
Sabo silencieux lorsque la base de données est fermée
Dès que Fowler a découvert la base de données exposée, il « a immédiatement envoyé un avis de divulgation responsable ».
La base de données a été limitée à l’accès du public dans les heures suivant la notification de Fowler, mais il dit qu’il n’a pas reçu de réponses de détaillants de mode.
La base de données et le document contenant les 3,58 millions de documents ont été divulgués pour la première fois lundi, mais il n’est pas clair à quel point la base de données est exposée avant sa découverte.
Sabo compte environ 2 millions de followers sur Instagram et vend des vêtements localement et internationaux. Photo: Instagram
On ne sait pas non plus si quelqu’un d’autre que Fowler a pu accéder à la base de données.
« Seul un audit médico-légal interne peut identifier un accès supplémentaire ou une activité potentiellement suspecte », a déclaré Fowler.
L’âge de l’information a demandé à Sabo s’il connaissait quelqu’un d’autre que Fowler avait accès à la base de données, mais l’entreprise n’a pas répondu.
Mine d’or à l’escroc
Fowler a empêché les clients de Sabo de prétendre activement qu’ils étaient en danger de la fuite, mais il a continué à souligner « des scénarios hypothétiques du monde réel » sur la façon dont les criminels peuvent utiliser les informations.
Il a averti que s’il était exploité par un acteur malveillant, les fuites de données pourraient tomber dans un « risque potentiel » de phishing ciblé, conduisant à des attaques d’ingénierie sociale et à une fraude financière.
Will Walker, fondateur de la société de protection contre la fraude basée à Melbourne, Fraud Stoppers, a déclaré que l’âge de l’information avec des bases de données exposées pour toute période de temps est dangereuse et que le risque « augmente de façon exponentielle, plus vous êtes exposé ».
« Si une base de données est publiée publique, il est de la meilleure pratique de supposer que les individus mauvais ont accès aux données et supposent qu’ils ont agi de manière proactive pour protéger l’entreprise, son personnel et, surtout, les clients », a déclaré Walker.
Le chercheur Jeremiah Fowler a contacté Sabo et ils ont résolu le problème sans reconnaître son rôle. Photo: fourniture
Walker a ajouté qu’une fois que les fraudeurs ont accès à des informations selon lesquelles seules les entreprises devraient être plus intelligentes, ils peuvent créer des campagnes de fraude « plus précises et plus cohérentes.
« Cela rédige la confiance existante dans la relation entre la victime et l’entreprise », a déclaré Walker.
« Un escroc (avec accès) peut utiliser cette confiance à grande échelle.
« Les exemples populaires de ces escroqueries incluent de fausses factures, une fraude d’erreur de remboursement et des escroqueries à livraison manquées. »
En fait, après que la marque de luxe Louis Vuitton a récemment subi des violations de données uniques, les clients de Reddit ont commencé à signaler des e-mails frauduleux, promouvant faussement de nouvelles collections NFT de la marque.
Jamieson O’Reilly, fondatrice de la société australienne de sécurité de l’information, Dvuln, a déclaré à Information Age que les données des dernières violations de données de Louis Vuitton sont « utilisées pour mener une campagne de phishing de fraude super cible ».
« Les pressions évolutives des campagnes de phishing à l’ancienne ont forcé les attaquants à reconstituer les confiance de la marque avec les données de violation », a écrit O’Reilly dans X.
« C’est ainsi que la pêche fonctionne en 2025. »
