Un courriel adressé aux clients de Mondial Relay et Colis Privé signalent un incident de sécurité : des accès non autorisés ont pu exposer des données personnelles liées au suivi logistique, adresses postales. Le pirate avait un accés « employé » !Mondial Relay et Colis privé viennent d’informer leurs clients d’une cyber attaque. Les deux entreprises indiquent avoir détecté des accès non autorisés à leur plateforme en ligne. Pour Mondial relay, le message d’alerte parle de la plateforme destinée aux e-commerçants, utilisée pour suivre les colis et gérer des demandes clients. L’entreprise prévient que des données personnelles ont potentiellement été exposées : identité, coordonnées, téléphone, ainsi que des informations de suivi (numéros d’expédition et de commande, statuts de livraison détaillés).
Le message envoyé aux clients décrit un incident de sécurité « identifié récemment » dans l’environnement de l’entreprise. Le point d’entrée évoqué est une plateforme en ligne réservée aux e-commerçants, présentée comme un outil de suivi des colis et des demandes clients. Mondial Relay indique y avoir « détecté des accès non autorisés », formulation qui laisse entendre une compromission d’identifiants, une erreur de configuration ou une exploitation technique, sans préciser, à ce stade, la cause exacte. La conséquence mise en avant est claire : une exposition potentielle de données personnelles, et le courriel est adressé aux destinataires parce que leurs informations « ont potentiellement été exposées ».
Dans une logique cyber, le vocabulaire compte. Ici, Mondial Relay ne parle ni de vol confirmé, ni de diffusion, ni d’exfiltration avérée. L’entreprise se place sur le terrain du risque : des tiers ont pu accéder à une interface contenant des données, et cela suffit à déclencher une alerte, des mesures techniques et un processus réglementaire. Cette nuance n’efface pas l’enjeu, car la valeur opérationnelle d’informations logistiques peut être élevée pour des attaques de type ingénierie sociale : les données de livraison, quand elles sont précises, peuvent rendre un message frauduleux plus crédible, au bon moment, avec les bons détails. De son côté, le pirate s’amuse a relayer les articles qui parlent de l’alerte de Mondial Relay et Colis Privé renforcant la crédibilité de sa vente aux yeux des autres pirates informatiques.
Quelles données ont pu être exposées ?Depuis le mois de septembre 2025, et plus exactement le 28 septembre 2025 dans un forum pirate autre que BreachForums, un malveillant du nom de « LaFin » annonçait la mise en vente d’un accés à Mondial Relay. Le pirate n’en dira pas plus et disparaitra aprés que son compte soit banni sur le forum en question et son message retiré. Je noterai qu’il est trés rare que les messages soient retirés lors du bannissement d’un internaute sur ce type d’espace pirate. Preuve que le message gené et qu’un des administrateurs ne souhaitait laisser aucune trace de cette petite annoncée. Le Service de Veille ZATAZ vous en propose une copie ci-dessous.
La mise en vente du 26 décembre 2025. Une semaine plus tard, voici de retour le pirate DumpSec [un malveillant qui ne semble pas être apprécié par d’autres pirates]. Ce dernier a signé la mise en vente des deux bases de données : Mondial Relay et Colis Privé. Le pirate signe ses messages « Russia – France Alliance« . Il parle de 25,7 millions de lignes pour colis privé ; 400 000 lignes pour Mondial Relay. Ce dernier cas devient interessant car il semble bien prouver un accés direct, comme employé, dans les secrets de Mondial Relay. « Nous avons attaqué l’entreprise aux alentours du 22 novembre 2025. Nous avons pu récupérer environ 25 millions de lignes de données. » écrit le pirate au sujet de Colis Privé. « Mondial Relay [..] a récemment activé l’accès à son portail professionnel. Hier, nous avons obtenu l’accès à cette plateforme et identifié une vulnérabilité élémentaire. Avant la détection et le blocage, environ 400 000 lignes de données ont été exportées. » termine-t-il.
Un troisiéme pirate viendra d’ailleurs ettayer cette possibilité. Closed, le 3ème pirate de cette histoire, affichait le 21 décembre 2025, une vente à hauteur de 5000 dollars donnés accès au « panel » de Mondial Relay. Comprenez, il suffit de taper l’identité d’un client pour receuillir sa fiche.DumpSec semble avoir eu accés à cet élèment et à ensuite scappé (aspiré) le contenu de la base de données. Dans les échantillons diffusés par ce malveillant, la date du 9 décembre 2025 est la plus récente (de l’échantillon).
La vente de 5000$ du 21 décembre 2025 (ou 25$ la fiche client). Comment est-ce possible ?
Nous avons affaire, depuis plusieurs mois, à une petite bande d’à peine une vingtaine de personnes, qui s’est étiolée au gré des actions des autorités. Aujourd’hui, ils ne sont plus qu’une petite dizaine (et, dans certains cas, plusieurs pseudonymes cachent une seule et même personne).
Les informations sensibles et personnelles collectées via des info-stealers (stealer, stealer info, …) ont permis d’accéder à des panels d’entreprises. Dans d’autres situations, des employés ont été payés pour fournir un accès. Bilan : le pirate devient l’employé.
Les amateurs de bande dessinée connaissant Iznogoud y verront une traduction parfaite de cette infiltration : « vizir à la place du vizir« .
Dans certaines situations, les objectifs divergent. Certains préfèrent conserver les données et maintenir un accès direct à l’entreprise infiltrée. D’autres visent une copie complète, pour une exploitation massive et des revenus plus rapides.
Le 28 septembre un pirate proposait à la vente l’accés « live » à Mondial Relay merci à ZATAZ
)
