Basic-Fit, la chaîne de salles de sport omniprésente en Europe et en France, vient de se faire pirater. Les hackers sont parvenus à mettre la main sur une montagne de données personnelles, dont des coordonnées bancaires. Les membres de Basic-Fit sont désormais dans le viseur des cybercriminels et des spécialistes du phishing…
Basic-Fit, la chaîne de salles de sport présente dans toute l’Europe, a été victime d’une cyberattaque. Dans un mail adressé aux clients touchés, la chaîne de fitness néerlandaise indique avoir « identifié un accès non autorisé au système qui enregistre les visites des membres dans les clubs ». Ce type de système, souvent connecté à l’application mobile et aux tourniquets d’accès, centralise des données à la fois pratiques et très personnelles. Cet accès s’est donc soldé par le vol d’une montagne de données personnelles. La chaîne revendique 5,8 millions de membres et plus de 2150 clubs dans toute l’Europe.
À lire aussi : une fuite de données géante expose 4,5 millions d’adresses e-mail françaises
Des données bancaires ont été compromises
Selon le communiqué officiel de Basic-Fit, les données dérobées comprennent les noms et prénoms des membres, leurs adresses postales, numéros de téléphone, adresses e-mail, dates de naissance, mais aussi leurs numéros de compte bancaire et le nom du titulaire du compte. Des informations relatives à l’abonnement ont aussi été siphonnées dans la foulée, comme le type de contrat, le solde de paiement, le numéro de pass, l’historique des visites sur la semaine écoulée, et même le nom de l’appareil mobile utilisé. C’est « le nom de votre appareil, par exemple iPhone ou Samsung, ou le nom que vous avez choisi », explique Basic-Fit.
C’est bien plus d’informations qu’il n’en faut pour piéger les utilisateurs avec des arnaques bien ficelées. L’entreprise assure que les mots de passe du compte n’ont pas été compromis. Basic-Fit indique que l’accès non autorisé a été bloqué quelques minutes après sa détection par ses équipes. Comme l’exige le Règlement général sur la protection des données (RGPD), les autorités compétentes ont été prévenues, vraisemblablement dans tous les pays concernés, dont la France et la Belgique.
À lire aussi : Nouvelle fuite chez Mondial Relay- des « données personnelles et logistiques » ont été piratées
Gare aux attaques phishing
Pour le moment, rien n’indique que les données ont été partagées sur des marchés noirs du dark web. Dans son communiqué, Basic-Fit explique surveiller « de près si les données téléchargées sont rendues publiques » avec l’aide de « spécialistes externes ». Basic-Fit indique qu’aucune action immédiate n’est requise de la part des membres. Il est conseillé de surveiller attentivement vos relevés bancaires dans les prochaines semaines, de ne jamais communiquer de mot de passe ou d’informations sensibles suite à un message non sollicité, et de signaler toute tentative de phishing directement à votre banque ou à Basic-Fit via l’adresse [email protected]. Si vous pensez être victime d’une fraude, contactez immédiatement votre établissement bancaire pour faire opposition.
Ce n’est pas la première fois que Basic-Fit se retrouve mêlé à une histoire de données volées. Quelques mois plus tôt, un cybercriminel avait revendiqué l’accès aux systèmes de MaSalleDeSport, un prestataire informatique commun à plus de 2 000 salles de sport en France, parmi lesquelles Basic-Fit, Fitness Park et l’Orange Bleue. Là encore, des données personnelles avaient été compromises. Avec le hack d’avril, Basic-Fit s’ajoute à la longue liste des entreprises présentes en Europe victimes d’une cyberattaque, aux côtés de KFC, Mondial Relay, Free, Orange, ou encore Chronopost.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.