Le plus grand site de recherche d'emplois du Net, Monster.com, vient d'être victime d'une attaque pirate en règle, révèle Symantec. La conséquence est plutôt grave : les données personnelles de centaines de milliers d'utilisateurs ont été dérobées.

Les pirates auraient utilisé un programme pour accéder à la section du site réservée aux employés de Monster.com. D'ici, ils ont alors été en mesure de récupérer toutes les informations personnelles qu'ils souhaitaient, sur un serveur regroupant 1,6 million d'entrées de données : nom d'utilisateurs, adresses email, adresse physique, numéro de téléphone, etc.

Des informations volées qui pourraient ensuite servir à l'envoi de courriers électroniques frauduleux (phishing ou spam), ou même à engager un processus de chantage à l'encontre des gestionnaires de Monster.com ou des victimes du phishing.

Selon Symantec, ce phishing a déjà commencé. Certains rapports font état de mails « très réalistes » imitant la griffe de Monster.com et utilisant les données personnelles volées pour mettre en confiance la victime. Les courriers en question incitaient au téléchargement d'un outil de recherche Monster.com fictif, qui crypte en fait les fichiers contenus sur le disque dur de la victime, demandant une rançon pour les déchiffrer.

Malgré l'alarme déclenchée par cette attaque, le responsable de la sécurité de chez Monster précise qu'il n'y a pas de cas avéré de « vol d'identité » au sens propre du terme. « Les informations récoltées par Monster ne sont pas différentes de celles affichées dans un simple carnet d'adresses » tempère Monster.com.

MàJ : Monster a mis à disposition de ses abonnés une listes des mails frauduleux qu'ils risqueraient de recevoir. La méthode pour ne pas se faire berner en beauté est disponible sur cette page.