Un vendeur pirate affirme détenir des bases Tripadvisor, Bet365 et Zalando Australia. Les volumes impressionnent, mais les preuves restent insuffisantes.
Un pseudonyme pirate revendique la vente de trois bases de données attribuées à Tripadvisor, Bet365 et Zalando Australia. Les volumes annoncés vont de 100 000 à plus de 120 millions d’enregistrements. Pourtant, les éléments disponibles ne confirment pas l’origine réelle des données. L’échantillon présenté comme lié à Tripadvisor contient des champs classiques de comptes utilisateurs, avec adresses électroniques et hashes bcrypt, mais aucun marqueur métier propre à la plateforme. À ce stade, l’affaire relève davantage d’un signal de veille cyber que d’une fuite établie. La prudence reste donc centrale.
Un vendeur très actif, mais pas encore crédible
Dans les marchés clandestins, le volume annoncé sert souvent d’argument commercial avant de devenir un fait vérifié. Le cas découvert et analysé par le Service de veille et d’investigation de ZATAZ, illustre cette zone grise. derrniére le pseudonyme pirate, un hacker affirme vendre trois ensembles de données très différents, attribués à TripAdvisor, Bet365 (site de pari en ligne de la société HILLSIDE (New Media Malta) PLC. Attention, en France, seul le .fr est autorisé par l’Autorité Nationale des Jeux) et Zalando Australia. Les chiffres mis en avant sont spectaculaires : 30 millions d’enregistrements pour Tripadvisor, plus de 120 millions pour Bet365, et 100 000 pour Zalando Australia.
Pris isolément, chacun de ces volumes mériterait déjà une analyse technique approfondie. Mis bout à bout, et publiés sur une période très courte, ils dessinent un profil plus ambigu. Un acteur capable d’obtenir, presque simultanément, des données provenant du tourisme, des paris sportifs et du commerce en ligne aurait accès à des sources très variées (une supply chain qui craque : un hébergeur de datas ?). Ce scénario n’est pas impossible. Il exige toutefois des preuves solides, car il peut aussi correspondre au comportement d’un revendeur opportuniste.
C’est ici que l’attribution devient fragile. Plusieurs annonces massives enchaînées rapidement ne démontrent pas une compromission directe. Elles peuvent signaler une agrégation de bases anciennes, un recyclage de fichiers déjà diffusés, un renommage destiné à attirer des acheteurs, ou encore une recomposition à partir de logs, de scraping (copie à partir d’un espace professionnel piégé par un stealer info par exemple) et de données issues de credential stuffing. Dans cet univers, le nom d’une marque peut parfois être utilisé comme étiquette commerciale, sans lien probant avec une intrusion récente.
Aucune confirmation publique fiable
Aucune confirmation publique fiable ne relie aujourd’hui le pirate repéré par ZATAZ à une fuite avérée chez Tripadvisor, Bet365 ou Zalando Australia. Les recherches publiques autour du nom produisent surtout du bruit, sans élément exploitable pour confirmer ces annonces cyber. Cette absence de confirmation ne prouve pas que les revendications sont fausses. Elle indique seulement qu’elles restent non démontrées publiquement.
Selon le Service de veille et d’investigation de ZATAZ, devenu aujourd’hui une référence dans les enquêtes et rapport CTI dédiés au Darkweb et les environnements pirates, l’échantillon attribué à Tripadvisor contient des champs très génériques : user_id, display_name, username, email, password_hash, created_at, last_seen, currency et country. Cette structure ressemble à celle de nombreux services en ligne. Rien, dans ces colonnes, ne suffit à rattacher formellement la base à Tripadvisor. Pour une plateforme de voyage, on pourrait s’attendre à voir des marqueurs plus spécifiques, comme des profils publics, des avis, des contributions, des lieux visités ou des préférences de voyage.
Le hash bcrypt constitue un élément techniquement crédible. Il suggère une gestion de mots de passe conforme à des pratiques courantes de sécurité. Mais ce détail ne prouve pas l’origine du fichier. Un faux échantillon, ou une base recomposée, peut parfaitement contenir des hashes bcrypt valides. La présence d’un mécanisme robuste ne valide donc ni la marque citée, ni la fraîcheur des données, ni la réalité d’une intrusion.
Des signaux faibles, pas une attribution
La revendication Tripadvisor repose donc sur un paradoxe. Elle paraît plausible dans sa forme générale, mais faible dans son attribution. L’annonce des 30 millions d’enregistrements attire l’attention, mais la vraie question porte sur leur nature. S’agit-il de 30 millions de lignes uniques ? De comptes générés ? D’identifiants issus d’anciennes fuites ? De données croisées avec des emails déjà exposés ? Sans structure complète, déduplication, dates cohérentes et champs métier, le chiffre reste une promesse de vendeur. L’échantillon repéré par ZATAZ ne donne pas suffisament d’informations pour être considéré comme fiable.
Le cas Bet365 demande encore plus de prudence. Une base de plus de 120 millions d’enregistrements liée à un acteur du pari en ligne serait extrêmement sensible. Elle pourrait contenir des informations de compte, pays, devise, activité, téléphone, préférences, voire certains éléments liés à la vérification d’identité selon les périmètres concernés. Si l’annonce ne montre que des emails, des usernames ou des hashes, l’hypothèse d’une base recomposée doit rester sur la table. ZATAZ reviendra sur ce sujet après la fin de son enquête, ce qui confirme le besoin d’une vérification méthodique avant toute conclusion.
A noter que des Français, des Belges et des Suisses sont présents dans les échantillons découverts par zataz.
L’attribution ne repose jamais sur le seul discours
Le troisième dossier, Zalando Australia, présente un autre type d’anomalie. Le libellé lui-même interroge. Zalando est d’abord associé au marché européen. Une base présentée comme « Zalando Australia » impose donc de vérifier le périmètre exact : domaine utilisé, partenaire éventuel, marketplace, prestataire, ancienne opération commerciale ou simple intitulé trompeur. Avec 100 000 enregistrements annoncés, le volume est plus modeste, mais le nom paraît potentiellement le plus douteux des trois.
Dans une enquête cyber, l’attribution ne repose jamais sur le seul discours d’un vendeur. Elle exige un faisceau d’indices : cohérence des champs, fraîcheur des dates, spécificité métier, correspondance avec des comptes réels, absence de recyclage connu, et parfois recoupement avec des notifications internes ou des déclarations publiques. Ici, les éléments visibles ne franchissent pas ce seuil. Ils justifient une surveillance, pas une affirmation définitive.
Pour les entreprises citées, l’enjeu est double. Il faut vérifier l’existence d’un incident sans amplifier une revendication peut-être opportuniste. Pour les utilisateurs, le risque le plus concret reste classique : réutilisation de mots de passe, exposition d’adresses électroniques, campagnes de phishing et tentatives de prise de contrôle de comptes. Même lorsque l’origine d’une base est incertaine, sa circulation peut nourrir des attaques réelles. Le Service Veille et d’Investigation de ZATAZ alerte ses clients en cas de découvertes d’informations personnelles volées par des pirates informatiques.
merci à ZATAZ
