La néobanque Dave victime d’une cyberattaque affectant 7,5 millions d’utilisateurs

Challenger et licorne américaine depuis sa levée de fonds de septembre 2019, la néo-banque Dave a été visée par une cyberattaque. Dans un post de blog, elle explique que les assaillants ont utilisé une faille présente chez l’un de ses anciens fournisseurs de services, Waydev, pour obtenir un accès à certaines données utilisateurs. Parmi elles, des mots de passe cryptés avec bcrypt, “un algorithme de hachage [technique de cryptographie, ndlr] reconnu par l’industrie”, des noms, des mails, des dates de naissance, adresses physiques et numéros de téléphone. L’attaque n’a pas touché les numéros de comptes, de carte, de sécurité sociale non cryptés, ni le suivi des transactions financières, souligne l’entreprise. 

Sur son site, la banque déclare compter 7 millions de membres, or elle a confirmé à ZDNet que les données de 7,52 millions de personnes étaient concernées. Dave explique aussi avoir fait appel à CrowdStrike pour l’aider dans son enquête. L(es)’auteur(s) des faits, ShinyHunters, avaient déjà attaqué puis revendu les données d’autres entreprises.

À noter : Les attaques via fournisseurs de services sont un modus operandi de plus en plus courant pour les cyberattaquants, soulignait le panorama de la cybercriminalité 2019 du Clusif (club de la sécurité de l’information français).