McDonald’s France dit avoir pris des mesures correctives après un incident de sécurité ayant permis l’utilisation frauduleuse de comptes fidélité de clients. Des points de fidélité ont été débités à l’insu de leurs titulaires, puis utilisés pour obtenir des réductions sur des commandes parfois passées à plusieurs centaines de kilomètres de leur domicile.
Des comptes McDo ont circulé dans des groupes fermés
Le problème a été signalé par de nombreux témoignages publiés ces derniers jours sur Reddit, X et TikTok, comme l’indique 01net. Plusieurs clients disent avoir perdu plusieurs centaines de points fidélité, soit quelques dizaines d’euros de valeur, sans avoir validé eux-mêmes les commandes concernées.
L’affaire ressemble à une usurpation ciblée de comptes fidélité plutôt qu’à une fraude classique. McDonald’s France assure d’ailleurs qu’aucune donnée sensible ou financière n’a été consultée, tout en reconnaissant que des tentatives d’accès à des informations clients ont bien été détectées au sein du programme de fidélité.
Les fraudeurs se sont appuyés sur des groupes sur Telegram et Discord pour vendre des comptes fidélité ainsi que des tickets de caisse. Les pages de paiement associées aux transactions frauduleuses ont en outre fortement ressemblé à des pages de phishing.
La faille a été exploitée après une modification dans la sécurité du système de connexion. À ce stade, McDonald’s France ne détaille ni le nombre de comptes potentiellement touchés ni la période exacte pendant laquelle l’incident s’est produit.
McDonald’s a réinitialisé des identifiants
Le groupe explique que deux de ses partenaires ont récemment détecté ces tentatives d’accès. Dès leur découverte, des mesures auraient été prises pour sécuriser l’environnement et contenir l’incident. « Les mesures correctives mises en place ont permis de contenir l’incident », a déclaré la chaîne de fast-food à l’AFP. « McDonald’s France et ses partenaires prennent la protection des données très au sérieux », ajoute le groupe.
Par précaution, McDonald’s France a aussi lancé en fin de semaine dernière une procédure de réinitialisation des identifiants des comptes clients. L’entreprise indique enfin que les personnes concernées peuvent déposer une réclamation auprès du service client.
La réponse de McDonald’s ferme le débat sur un point : il y a bien eu un incident affectant le programme de fidélité. En revanche, l’entreprise reste très vague sur son ampleur réelle, alors que les témoignages accumulés donnent l’image d’une fraude déjà largement visible côté clients.
Au-delà de la remise à zéro des accès, la question est de savoir combien de comptes ont été exposés, combien de points ont été détournés et comment une telle faille a pu se développer suffisamment pour alimenter des circuits de revente organisés.
Néanmoins, il est bon de préciser qu’aucune donnée bancaire sensible n’a été consultée.
![image de l'article [Màj – Jour 3] Les Prime Days commencent, 4 jours de grosses promos sur Amazon](https://static.iphoneaddict.fr/wp-content/uploads/2021/06/Amazon-Prime-Day-624x492.jpg)
2 commentaires pour cet article :