Journal Piratage de la base email clients neuf/sfr ?

Posté par (page perso) . Licence CC by-sa
Tags : aucun
19
18
mai
2012

(C'est vendredi et ça balance)

Je reçois depuis quelque temps du spam sur mon adresse email SFR.
Cette adresse n'a jamais été divulguée et me sert uniquement pour m'authentifier sur mon compte client.
Les spams reçus sont tous identiques et concernent une société française vendant (entre autres) des articles latex et à clous (il ne s'agit pas de pneus hiver).
Je n'ai jamais reçu de spam sur cette adresse, à part ces envois.

De nombreux autres clients «sfr.fr» semblent concernés, et sont dans le même cas que moi: adresse email obtenue à la souscription, mais jamais divulguée. Deux de mes proches sont également concernés, et il s'agit de la même publicité.
Les clients avec une adresse en «neuf.fr» semblent également visés (une personne dans mon entourage).

La réception du premier spam date pour ma part du 5 mai 2012. Je pense que de gros volumes sont envoyés, car les dates varient selon les personnes.

J'ai forwardé le mail chez abuse@sfr.fr , faute de mieux.

Certaines personnes ont contacté SFR via des forums, mais les réponses sont au mieux très évasives.

http://www.n9ws.com/forum/viewtopic.php?t=118526&p=1005735

http://forum.sfr.fr/c343-1-messagerie-electronique/f365-sur-sfr-fr/t470571-sfr-vend-il-ses-emails-.htm

Donc de deux choses l'une:
1) SFR a vendu sa base email à des spammeurs. Peu probable, non pas que je compte sur l'honnêteté et le bon sens de cette société, mais les spams seraient plus variés.

2) SFR s'est fait piquer sa base email. Voila qui me parait plus plausible.

La question subsidiaire étant: quelles sont exactement les données qui se baladent maintenant dans la nature ?

  • # De trois choses l'une

    Posté par . Évalué à 6. Dernière modification le 18/05/12 à 17:12.

    3) Tu t'appelles Jean Dupont, John Smith ou Hans Schmidt, et le spammeur a essayé les adresses par dictionnaires de noms et prénoms usuels. Quand le mail ne revient pas avec une erreur, c'est qu'il a trouvé un compte valide.

    • [^] # Re: De trois choses l'une

      Posté par . Évalué à 4.

      J'ai forwardé le mail chez abuse@sfr.fr , faute de mieux.

      Il faut forwarder chez le FAI utilisé pour envoyer le mail, pour leur demander de fermer le compte qui abuse. Si ton compte sfr se contente de recevoir le mail, sfr ne peut rien faire.

      J'ai déjà du mal à expliquer aux personnes derrière abuse@voila.fr qu'il faut fermer les compte qui apparaissent aux champs reply-to:...@voila.fr des scams que je reçois, ils me répondent que c'est le FAI expéditeur (genre au Nigéria) qu'il faut contacter.

      • [^] # Re: De trois choses l'une

        Posté par (page perso) . Évalué à 3.

        En fait, j'ai ajouté un petit mot où je leur ai résumé ce que je viens de poster en journal.

        J'aurais peut être dû l'envoyer au service commercial, mais là ça serait parti directement à la poubelle.

        Alors que chez «abuse», je me suis dit que j'avais une petite chance de rencontrer l'oreille attentive d'un technicien.

      • [^] # Re: De trois choses l'une

        Posté par (page perso) . Évalué à 10.

        j'ai pas compris, c'est envoyé depuis le nigeria par un fai local, il y a un reply-to sur une adresse voila.fr et tu veux fermer le compte voila.fr ?

        mais si je crée un mail à la con avec en reply-to JGO@linuxfr.org t'es dans la merde sans avoir rien fait ou j'ai loupé un passage ?

        • [^] # Re: De trois choses l'une

          Posté par . Évalué à 5.

          Ok j'exagère avec le compte au Nigéria, ils utilisent deux comptes sur des plateformes européennes ou américaines. Par exemple un compte hotmail.com envoie une centaine de scams, avec un replyto (par exemple) @voila.fr ouvert par eux. Même si Hotmail réagit promptement et ferme le compte dans la journée, des pigeons liront leurs scams pendant plusieurs jours et leur réponse partira vers voila.fr. Ce dernier ne reçoit que quelques mails, il n'est pas suspect, et la conversation scammeur/pigeon peut continuer.

      • [^] # Re: De trois choses l'une

        Posté par (page perso) . Évalué à 6.

        Donc si je forge un spam avec un reply to : jgo@tonfournisseursdemail.com ton fournisseur devra bloquer ton compte c'est ça ?

        • [^] # Re: De trois choses l'une

          Posté par . Évalué à 1.

          Il y a mille moyens de causer des malveillances aux gens honnêtes, tu viens juste d'en inventer un autre. Tu peux aussi aller au café où j'ai mes habitudes, subtiliser la tasse que je laisse négligemment sur le comptoir et utiliser ma salive et mes empreintes pour envoyer des menaces au Président. Et je vais être bien dans la moise.

          J'imagine que tu as compris le schéma utilisé par les scammeurs dont je parle. Le compte en reply-to leur permet de continuer la conversation avec le pigeon même après que le compte émetteur a été fermé.

    • [^] # Re: De trois choses l'une

      Posté par (page perso) . Évalué à 6. Dernière modification le 18/05/12 à 17:19.

      Bonne remarque.

      J'ai oublié de le préciser, mais mon adresse email comporte 23 caractères rien que pour mon nom+prénom. Ça me parait beaucoup à générer, et d'autres personnes aux noms et prénoms beaucoup plus court ont reçu leur premier spam de cette société une semaine après moi.

      • [^] # Re: De trois choses l'une

        Posté par . Évalué à 3.

        une génération par dictionnaire n'est pas affectée par la longueur des mots utilisés.

        j'imagine que jean-michel.schwarzenegger@neuf.fr doit en savoir quelque chose.

        • [^] # Re: De trois choses l'une

          Posté par . Évalué à 5.

          Il n'a qu'à poster ici le détail de son adresse email, comme ça il pourra reçevoir le reste des propositions commerciales pour son automobile…

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: De trois choses l'une

          Posté par . Évalué à 3.

          Certes, mais moi aussi je suis concerné, et dans mes adresses email, je peux t'assurer qu'il n'y a aucun nom-prénom. Donc, à moins d'avoir généré une liste avec une composition de tous les mots du dictionnaire (et les conjonctions entre ces mots : "a", "ou", "en", etc. ; les signes de ponctuation divers et variés), ils ont eu la liste d'une source vraisemblablement fiable.

          D'autant plus fiable que mon adresse est en "club-internet.fr". Quel spammeur s’amuserait à générer des adresses pour un domaine en perte complète de vitesse ? À moins d'être certain de l'activité des adresse ?

  • # Les Annuaires ?

    Posté par (page perso) . Évalué à 3.

    Et si simplement tu apparaissais dans un annuaire, par exemple celui de SFR ?

    Auquel cas en interrogeant avec ton nom de famille on trouve ton prénom et ensuite je suppose qu'il doit y avoir une norme de mail à la con classique du style prénom.nom ou [1 lettre prenom].nom !

    Tu vas me dire que tu as un nom de famille hors du commun. Oui mais en interrogeant les pages blanches avec un nom de rue on a une liste de nom qui sort, pas difficile de se constituer une liste de nom de famille…

    Oui mais la liste de rue ? google : liste rue [ville ] on dirait que le site meilleursagent met a disposition une liste pour chaque ville… magnifique !

    Bref… Les annuaires ou la fin de l'anonymat…

    Fuse : j'en Use et Abuse !

    • [^] # Re: Les Annuaires ?

      Posté par (page perso) . Évalué à 4.

      Dès que mon compte a été activé, j'ai épluché toutes les options histoire de désactiver les choses comme «paiement à l'acte»,» «option minitel» etc… j'en ai profité pour demander à ne pas figurer dans les annuaires SFR.

      J'ai évidemment figuré un court instant dans les annuaires SFR, mais il y a plus de deux ans. Si ça venait d'un pompage des annuaires SFR, je pense que j'aurais été spammé avant.

      Par contre, la piste d'un pompage des pages blanches et d'une génération avec les principaux noms de FAI est intéressante. Seulement, elle ne tient pas non plus (ou alors plusieurs méthodes sont utilisées en parallèle): un ami a reçu le spam sur une adresse alias non divulguée et de type «T0T0_R0xx0r123».

  • # Pareil

    Posté par . Évalué à 1.

    En effectuant une recherche dans le spam, j'ai vu que j'avais recu deux fois le 28 avril ce spam, et comme toi j'utilise pas du tout cette adresse.

    Si tu veux savoir d'où ça vient, t'as juste à lire en bas du mail :

    Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent. Vous pouvez exercer ce droit en contactant directement notre service clients.

    Donc le plus simple à mon avis, c'est de les contacter. Ça coute rien et ça peut rapporter gros… genre un bon d'achat en guise d'excuses ;-)

    • [^] # Re: Pareil

      Posté par . Évalué à 2.

      Reçu le 8 mai, de la même manière je ne me suis jamais servi de cette adresse, sauf pour accéder aux services d'abonnements. Assez curieusement sur mon alias et pas prenom.nom.

  • # Tu confirmes mes soupçons.

    Posté par . Évalué à 6.

    Aujourd'hui j'ai reçu un spam sur l'adresse email que j'ai fourni à SFR.
    J'ai un compte gmail, les adresses gmail ne prennent pas en compte le nombre de point et leur position dans l'adresse. Pour simplifier le filtrage des messages je donne des combinaisons uniques chaque fois qu'on me demande mon adresse.
    http://support.google.com/mail/bin/answer.py?hl=fr&answer=10313&rd=1#

    Donc je suis sûr à 100% de ne jamais avoir divulgué cette adresse à quelqu'un d'autre, par contre je me suis dis que ça pouvait être le hasard, la moulinette des spammeurs qui serait tombée sur cette adresse.

    Merci pour l'info.

    • [^] # Re: Tu confirmes mes soupçons.

      Posté par . Évalué à 2.

      Au passage, merci pour l'info des points, savais pas.

      • [^] # Re: Tu confirmes mes soupçons.

        Posté par (page perso) . Évalué à 2.

        Idem, j'ai reçu cette semaine un premier spam sur mon adresse SFR. Ayant mon nom de domaine et un catch all, cette adresse est unique à SFR, et je ne recevais d'ailleurs plus rien vu que je ne suis plus abonné chez eux depuis 6 mois.

        • [^] # Re: Tu confirmes mes soupçons.

          Posté par . Évalué à 1.

          Ah ben c'est vrai ça, je ne suis plus chez eux depuis près d'un an ! Combien de temps ils ont le droit de garder nos infos ? Indéfiniment si on ne fait pas une demande explicite de suppression ?

          Je fais pareil maintenant, catch all sur domaine perso, c'est bien pratique, pour les filtres mais aussi pour voir d'où viennent les fuites. :)

    • [^] # Re: Tu confirmes mes soupçons.

      Posté par . Évalué à 2.

      J'ai un compte gmail, les adresses gmail ne prennent pas en compte le nombre de point et leur position dans l'adresse. Pour simplifier le filtrage des messages je donne des combinaisons uniques chaque fois qu'on me demande mon adresse.

      Tu peux utiliser le +blabla chez gmail ça marche aussi , genre nom.prenom+fnac@gmail.com

      • [^] # Re: Tu confirmes mes soupçons.

        Posté par . Évalué à 1.

        Combien de temps avant que les spammeurs virent ce qui traîne après le + ?

        Un retour d'expérience :

        Comme j'ai un nom de domaine, je déclare plein d'alias pour les achats, les impôts, la SNCF, etc. Je fais ça depuis que j'ai le domaine, soit plusieurs années. Les messages non sollicités que je reçois sont :

        • Des messages agaçants de Amazon ou PriceMinister qui me sont adressés nommément. Il faut se désinscrire à 50 listes et encore, on en reçoit tout le temps. C'est pénible mais légal, sans doute.

        • Des vrais messages pourris qui arrivent sur l'adresse que j'utilise massivement pour les activités politico-associatives, et maintenant plus largement. Elle est même visible depuis peu sur le bug tracker debian qui laisse les adresses apparentes mais les spams datent d'avant. Je pense que le problème, c'est les Fwd de porc avec toutes les adresses dans le corps du message qui finissent par atterrir au mauvais endroit.

        • Même chose avec l'adresse utilisée pour le co-voiturage, mais je pense que la cause est la même, je ne crois pas que ça vienne des sites.

        • Parfois des message non sollicités sur mon adresse "pétitions", mais on pourrait toujours trouver un lien, une justification : problématique connexe, etc. En tout cas, ce n'est pas le même niveau de spam.

        • Je vois aussi dans les logs du serveur des messages envoyés à des adresses qui n'existent pas. J'ai même déjà vu des messages adressés à une adresse proche d'une existante mais qui n'avait jamais existé. Je me demande quel outil est à l'origine de cette mutation.

        Tout ça pour dire qu'après quelques années, ma politique "un interlocuteur, un alias" pour tracer les fuites… ne révèle aucune fuite parmi les interlocuteurs institutionnels (administrations, magasins,…). Donc je ne me prends plus la tête, j'utilise plutôt une adresse unique pour le spam et je la virerai quand elle sera trop spammée.

        En plus spamassassin dans sa config de base fait super bien son boulot.

        A noter dans claws-mail la possibilité d'éditer le champ From directement dans la fenêtre de composition sans devoir créer un compte et tout (attention, ça ne modifie pas le champ de retour de l'accusé de réception).

  • # Reçu sur mon email Gmail lié à Sfr

    Posté par . Évalué à 3. Dernière modification le 18/05/12 à 18:37.

    A tout hasard, j'ai regardé quel email est lié à mon compte SFR: c'est une adresse Gmail.
    Je recherche inspam: mon***shop.fr
    Et là :O je l'ai moi aussi reçu, et sur gmail!
    D'autres personnes l'ont reçu sur des domaines persos etc..
    Il n'y a donc plus aucun doute.

  • # Entreprise francaise ?

    Posté par . Évalué à 2.

    Il est possible de signaler les spams : https://www.signal-spam.fr/actualites/lutte-contre-le-spam-la-cnil-contr%C3%B4le-des-entreprises-identifi%C3%A9es-par-signal-spam

    Si l'entreprise est française ou si elle a un nom de domaine et .fr, ca peut marcher.

  • # ben tiens …

    Posté par . Évalué à 1.

    Soit ton deuxième lien est erroné, soit ils ont déjà censuré la discussion :

    http://forum.sfr.fr/c343-1-messagerie-electronique/f365-sur-sfr-fr/t470571-sfr-vend-il-ses-emails-.htm

    On dirait qu'ils commencent mettre en œuvre les moyens habituels pour étouffer tranquillement cette histoire … Ça va pas jouer en leur faveur.

  • # déviant

    Posté par . Évalué à -10.

    tu étais saoul, avec tes amis, vous avez fait des trucs pas clair, sur internet, en filant vos emails … faut assumer et arrêter de dire que c'est eux les méchants. En 10 ans de "SFR" (Cegetel, Neuf, puis SFR) je n'ai pas reçu de spam sur mes boites d'abonnement, parce que sur les site mamiencuir.com j'y vais avec ma bal@laposte.

    • [^] # Re: déviant

      Posté par . Évalué à 4.

      C'est vrai qu'une entreprise qui se fait pirater sa base de données, ça n'arrive jamais, non non non.. Et qu'en plus elle fasse tout pour le nier? Ben voyons, jamais, impossible!

      Regarde le forum, un gars a un domaine catchall, il a mis sur le site sfr sfr@sondomaine et il a reçu le spam à sfr@.

      J'espère que la CNIL va descendre chez le ***shop et chez SFR.

  • # Dans l'autre sens.

    Posté par . Évalué à 4.

    J'ai déjà reçu du spam envoyé par SFR : SFR Business Service, qui a joyeusement proposé ses services à ma boîte mail auto-hébergée. Pourtant c'est une adresse perso, sur laquelle je n'ai jamais demandé à recevoir de prospection commerciale.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # Et un employé ?

    Posté par (page perso) . Évalué à 10.

    Ça serait pas la 1ère fois qu'un type s'étant fait virer de sa boite revende des infos par la suite…

  • # peut être que

    Posté par (page perso) . Évalué à 1. Dernière modification le 19/05/12 à 07:55.

    Une réponse sur de "client spammer" sur le forum de SFR :
    Bonjour,
    Tous ça est parfaitement valable.
    Sauf pour les trois emails qui ne sont que sur vos serveurs…
    Ils ne sont pas sur mon ordi, ni ailleurs !
    Les outils que vous signalez sont donc passés aussi par SFR !
    Je signale que je n'ai jamais eu de spam, jusqu'à ceux de monsexshop.fr .
    J'ai déjà eu des pubs de site sur lequel je suis client, c'est tout.
    Salutations.

    Il est dit que de la pub a déjà été reçu mais depuis des sites auxquels il est client. Donc cette adresse e-mail est connu d'autres sites, je regarderais aussi du côté de ces sites si un ne c'est pas fait piraté ou a tout simple vendu/perdu ça base mail.

    Born to Kill EndUser !

    • [^] # Re: peut être que

      Posté par . Évalué à 5.

      sur un compte sfr qui ne sert que pour le téléphone et auquel ils ont rajouté automatiquement une adresse mail en sfr, on a reçu également ce spam, alors que l'adresse n'a absolument jamais servi ailleurs.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Données qui se baladent ...

    Posté par . Évalué à 2.

    La question subsidiaire étant: quelles sont exactement les données qui se baladent maintenant dans la nature ?

    Abonné clé 3G depuis quelques temps (années), et en ADSL chez SFR depuis peu (mi/fin avril), je n'ai pas reçu ce spam sur mon email de contact pour les deux abonnements … Donc si c'est la base d'abonnés SFR qui a été récupérée:
    - Ça date de plus d'un mois
    - Et c'est à priori la base ADSL en cause, plus d'autres peut-être, mais apparemment pas la totalité des infos de contact de tous leurs clients.

  • # Tes chers amis sous Windows

    Posté par . Évalué à 3.

    Certains spywares collectent les emails, et pas que pour se propager: Un email 'vérifié' a beaucoup de valeur pour les spammeurs.
    Suffit donc malheureusement d'envoyer un email à une personne…

    • [^] # Re: Tes chers amis sous Windows

      Posté par . Évalué à 2.

      Sauf que dans nos cas les emails "spammés" sont pour la plupart des adresses dédiées à SFR donc jamais utilisées pour quoi que ce soit d'autre. C'est pourquoi tout le monde se pose cette question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.