Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Rançongiciel chez Phone House Espagne

Le gang Babuk a compromis le distributeur de mobiles espagnol The Phone House et divulgué environ 100 Go de données clients — noms, numéros d'identité, coordonnées bancaires et de contact concernant jusqu'à 3 millions de personnes — après le refus de l'entreprise de payer.

Victime
The Phone House España
Perte
$7.0M
données
3.0M
utilisateurs
3.0M
SecteurCommerceTélécoms
PaysEspagne
GroupeBabuk
Attaquants nommésBabuk ransomware group

Le 8 avril 2021, The Phone House España — la filiale espagnole de la chaîne européenne de distribution de téléphonie mobile (groupe Dixons Carphone) — a été frappée par une attaque par rançongiciel menée par le gang Babuk. Devant le refus de l'entreprise de payer, les attaquants ont déversé en ligne environ 100 Go de données clients, dans l'une des fuites les plus marquantes du secteur de la distribution en Espagne.

Ce qui s'est passé

Babuk, une opération de rançongiciel-as-a-service apparue début 2021, a chiffré les systèmes de Phone House et exfiltré des bases de données internes avant de déployer son outil de verrouillage. Suivant le modèle désormais classique de la double extorsion, le groupe a inscrit l'entreprise sur son site de fuite le 11 avril et lancé un compte à rebours public exigeant un paiement pour empêcher la publication.

The Phone House a refusé. Le 22 avril, les attaquants ont publié l'intégralité du butin. Si Babuk se vantait de détenir des données sur 13 millions de clients, des analyses ultérieures — dont celle du CERT national espagnol, l'INCIBE — ont conclu que la population réellement touchée était plus proche de 3 millions de personnes, incluant clients actuels, anciens clients, salariés et fournisseurs.

Conséquences

  • Les données divulguées comprenaient noms complets, numéros d'identité nationale (DNI), adresses postales, adresses e-mail, numéros de téléphone, nationalités, dates de naissance et coordonnées bancaires, ainsi que des données liées aux appareils telles que codes IMEI et informations sur les polices d'assurance.
  • L'intégralité de la fuite ayant été publiée, les personnes concernées ont été exposées à des risques durables d'hameçonnage, d'usurpation d'identité et de fraude par SIM-swapping — des risques irréversibles une fois les données rendues publiques.
  • La fuite a rapidement alimenté Have I Been Pwned et d'autres services de surveillance, permettant aux clients de confirmer leur exposition.

Suites réglementaires

Le 27 décembre 2023, l'autorité espagnole de protection des données, l'AEPD, a infligé à The Phone House une amende de 6,5 millions d'euros — l'une des plus lourdes jamais prononcées contre un distributeur espagnol. La sanction se décompose en 4 millions d'euros pour violation de l'article 5.1(f) du RGPD (intégrité et confidentialité) et 2,5 millions d'euros pour violation de l'article 32 (sécurité du traitement). Les enquêteurs ont constaté que l'entreprise s'était appuyée sur un algorithme de chiffrement non sécurisé et manquait de garanties techniques et organisationnelles adéquates.

Pourquoi c'est important

Le cas Phone House souligne que, sous le RGPD, refuser la rançon ne met pas fin à la responsabilité. Même lorsqu'une victime décline à juste titre de payer les criminels, les régulateurs examinent si les failles de sécurité sous-jacentes ont rendu la fuite possible. Pour un distributeur détenant des données d'identité et bancaires sur des millions de consommateurs, un chiffrement faible et des contrôles insuffisants se sont traduits directement par une amende de plusieurs millions d'euros — indépendante et additionnelle au préjudice réputationnel de la fuite elle-même.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
7.0M
USD · 7 000 000 $US
  • Amendes & règlements$7.0M

Chronologie

  1. The Phone House España est frappée par une attaque par rançongiciel attribuée au groupe Babuk, qui chiffre les systèmes et exfiltre les bases de données clients.

  2. Babuk publie l'entreprise sur son site de fuite et lance un compte à rebours, exigeant un paiement pour empêcher la divulgation des données dérobées.

  3. Le délai expirant sans paiement, les attaquants publient environ 100 Go de données en ligne, revendiquant des fichiers sur environ 13 millions de clients.

  4. Les médias espagnols et l'INCIBE signalent la fuite ; l'AEPD ouvre une enquête. Des analyses indépendantes estiment la population réellement touchée à environ 3 millions.

  5. L'AEPD inflige à The Phone House une amende de 6,5 millions d'euros pour mesures de sécurité inadéquates au titre des articles 5.1(f) et 32 du RGPD.

Sources

  1. incibe.eshttps://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/data-breach-would-affect-3-million-people
  2. letslaw.eshttps://letslaw.es/en/the-phone-house-fine-spanish-aepd/
  3. haveibeenpwned.comhttps://haveibeenpwned.com/Breach/PhoneHouse
  4. euroweeklynews.comhttps://euroweeklynews.com/2021/04/23/phone-house-cyber-attack-could-see-data-from-13-million-people-exposed-online/

Incidents liés

RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
RançongicielRançon payée

Rançongiciel REvil contre JBS Foods

Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.

Victim
JBS S.A. / JBS USA
Loss
$100.0M