Piratage sur Vinted : cagnottes volées, remboursements...Ce que l'on sait sur l'incident en cours

Une vague de piratages frappe le géant de la seconde main Vinted. L'application de revente de vêtements lituanienne qui a conquis plus de 20 millions de Français a reconnu ce vendredi 24 mars un incident qui a touché une partie de ses membres français ces derniers jours, confirmant une information du Parisien.

Selon le quotidien, les porte-monnaies électroniques de plusieurs centaines d'utilisateurs français ont été siphonnés par des cyber escrocs récemment, avec des préjudices importants, parfois supérieurs à plusieurs centaines d'euros. 

Le mode opératoire des pirates n'est pas clairement établi, mais de nombreux témoignages font état de connexions extérieures à leur compte. Selon Vinted, "les informations de connexion utilisées (identifiants, mots de passe, …) ont été obtenues à partir de données consultées ailleurs en dehors de la plateforme et non liées à Vinted". 

Les RIB et les numéros de téléphone modifiés pour transférer les cagnottes

Une fois en possession des comptes, les pirates ont modifié les coordonnées bancaires associées pour transférer le montant des cagnottes récoltées à la faveur des ventes de vêtements sur des comptes tiers. Selon nos constations, cette procédure nécessite la validation d'un code reçu sur le numéro de téléphone du titulaire du compte seulement si les usagers ont activé la double vérification. De nombreuses victimes disent ainsi avoir reçu des SMS relatifs à un "code Vinted" et des appels automatiques d'une boîte vocale. Mais cette option n'est pas activée par défaut par la plateforme.

La plupart des victimes disent aussi avoir vu le numéro de téléphone associé à leur compte modifié par les pirates. D'après nos constatations, toujours, il est en effet possible d'enregistrer un nouveau numéro sur la plateforme en renseignant seulement un code de validation reçu sur le nouveau numéro et non sur l'ancien. Une faille qui aurait pu permettre aux pirates de contourner la double vérification pour modifier ensuite à leur guise les coordonnées bancaires des comptes en recevant le code de validation directement sur leur appareil.

"J'ai reçu un mail pour m'avertir d'une activité suspecte. Deux jours après, Vinted m'a indiqué que mon numéro de téléphone avait été changé. Le temps que je me connecte, j'ai reçu un nouveau message m'indiquant que le virement de ma cagnotte avait été effectué", confie ainsi à RTL, Jérémy, un utilisateur de Vinted qui a perdu une cinquantaine d'euros dans l'incident.

Vinted promet de rembourser les victimes

Sollicité par RTL, Vinted dit avoir "récemment bloqué l’accès aux comptes de plusieurs de nos membres, en raison d’un incident au cours duquel un accès frauduleux à ces comptes a été constaté". La plateforme assure être en contact avec les usagers concernés "afin de les accompagner pour rétablir l'accès à leur compte et les conseiller pour assurer la sécurité de leur compte et de leurs identifiants". Vinted confirme "qu’ils seront éligibles à une indemnisation en cas d’argent perdu sur leur portemonnaie Vinted". Certaines victimes disent avoir déjà reçu leur remboursement.

En attendant de connaître les prochains déroulés de cette affaire, il est conseillé aux titulaires d'un compte Vinted de supprimer leur carted bleu de la plateforme, de vérifier que leur mail et leur numéro de téléphone n'ont pas été modifié et de changer leur mot de passe par précaution. Il est aussi recommandé d'activer la double vérification pour renforcer la sécurité de leur compte.

Vinted, fondé en 2008 en Lituanie, emploie 1 500 salariés et sa plateforme compte plus de 65 millions d’utilisateurs, selon des chiffres de juin 2022. La plateforme n'a pas confirmé si l'incident était circonscrit à la France ou plus global.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info