Le lundi 16 janvier 2023 à 15h, nous avons détecté un incident sur 15 comptes utilisateurs. Les utilisateurs ont signalé des difficultés pour se connecter à leur compte, ainsi que des erreurs lors de l'accès à certaines fonctionnalités de la plateforme.
Afin de minimiser les impacts possibles sur d’autres comptes utilisateurs, nous avons fait le choix de passer en mode maintenance et communiqué auprès de la communauté à 15h45 sur nos réseaux sociaux.
L'équipe de développement de Bricks.co a été en mesure d’identifier et de résoudre rapidement le problème. Les causes de l'incident ont été identifiées comme une intrusion sur ces comptes utilisateurs due à des mots de passe faibles ou compromis qui ont donné la possibilité à un attaquant d'avoir l'accès aux 15 comptes utilisateurs concernés. L'attaque visait spécifiquement ces comptes et n'est pas due à une fuite de données au niveau de notre société.
Une notification auprès de la CNIL pour leur spécifier, a été effectuée.
Cette intrusion visait à essayer de retirer de l'argent des comptes concernés. Nous avons détecté cette intrusion suffisamment rapidement pour éviter tout retrait d'argent de la plateforme.
Pour éviter que ce genre d'incident ne se reproduise à l'avenir, nous avons apporté plusieurs nouveautés pour renforcer la sécurité de vos comptes. Nous prenons en compte les préoccupations de sécurité de nos utilisateurs et nous sommes déterminés à améliorer encore plus la sécurité de Bricks.co.
Les solutions apportées à ce jour incluent :
- L’envoi d’un code unique par email à renseigner au moment de la connexion (double authentification), sauf en cas de connexion en SSO (Google, etc)
(Si vous rencontrez des problèmes de délivrabilité de mail, cliquez ici) - L’envoi d’un code unique par email à renseigner lors de la modification du mot de passe (double authentification)
- La déconnexion de toutes les sessions utilisateur pour éviter que des sessions compromises ne soient encore utilisées
- Le déploiement d'outils techniques pour réduire l’impact des attaques automatisées qui seraient effectuées avec des robots
Ces mesures viennent en complément des sécurités qui étaient déjà présentes :
- L’envoi d’un code par email à renseigner pour valider un retrait
- L’envoi d’un code par email à renseigner pour valider une modification de RIB
Il est important de rappeler que les mots de passe faciles à deviner sont l'une des principales causes d'incidents de sécurité. Il est donc crucial de prendre le temps de créer des mots de passe forts et uniques pour protéger vos comptes en ligne. Vous pouvez utiliser des combinaisons de lettres, de chiffres et de symboles pour créer un mot de passe difficile à deviner. Il est également recommandé de changer régulièrement vos mots de passe pour renforcer votre sécurité.
Si vous détectez une activité suspecte sur votre compte, prenez contact avec notre service client à [email protected]
L’équipe de Bricks ne demandera jamais à ses utilisateurs de fournir leur mot de passe ou code de vérification en dehors de la page d’authentification, ne les communiquez jamais à personne, cela garantira ainsi que seuls les utilisateurs ayant accès à leur compte peuvent y accéder.
Nous vous remercions pour votre confiance en Bricks.co. Si vous avez des questions ou des commentaires à propos de ces évolutions, n'hésitez pas à nous contacter.
Merci,
L'équipe de développement de Bricks.co