Récemment, plusieurs utilisateurs de Claude AI ont lancé des alertes dans des groupes Facebook et sur Reddit, indiquant que la carte de crédit associée à leur compte Anthropic était fréquemment utilisée à leur insu. Les attaquants réalisent de nombreuses transactions via la fonctionnalité « Abonnement cadeau (Gift) » de la plateforme. Plusieurs victimes, originaires de Taïwan, du Canada et des États-Unis, déclarent des pertes de plusieurs dizaines de milliers de NTD, suscitant l’attention du public.
Des extensions malveillantes ciblant Google ont été en embuscade pendant trois ans, contournant secrètement les mots de passe et la double authentification
M. Hong, une victime taïwanaise, a publié un message dans le groupe Facebook Claude Taiwan pour révéler l’affaire. Selon lui, la cause principale vient du fait qu’au cours du processus de téléchargement d’un logiciel en avril 2023, il a installé sans le savoir, en même temps, une extension malveillante Chrome nommée « Start New Tab Search ». Ce programme appartient à la famille Adware.NewTab et est resté en place pendant près de trois ans jusqu’à aujourd’hui.
Cette extension dispose des autorisations permettant d’intercepter les requêtes HTTP, et elle vole en continu, en arrière-plan, les cookies et les jetons de session des utilisateurs. Une fois que l’attaquant obtient un jeton de session valide, il n’a absolument pas besoin du mot de passe du compte ni de passer par la double authentification (2FA) : il peut directement effectuer des achats via le compte de l’utilisateur. C’est aussi la principale raison pour laquelle, après les faits, les mesures prises par les victimes — stopper la carte, changer les mots de passe, activer la 2FA, etc. — n’ont toutes eu aucun effet.
Quatre débits en trois jours, changer de carte n’a servi à rien ; un défaut de l’interface d’Anthropic révélé
M. Hong indique qu’au petit matin du 16 avril, il a découvert que son compte avait été débité automatiquement pour acheter l’offre « Gift Max 5X ». Même s’il a immédiatement pris toutes les mesures de sécurité standard : arrêter la carte, modifier les mots de passe, activer la double authentification, se déconnecter de tous les appareils, révoquer les API Keys et changer de nouveau mode de paiement, la fraude s’est poursuivie jusqu’au 20 avril.
Au final, M. Hong s’est fait débiter avec succès quatre transactions, pour une perte totale de 400 dollars. Pendant ce temps, son téléphone a continué à recevoir des messages d’authentification 3D Mastercard et des codes de vérification Stripe, montrant que l’attaquant tentait sans cesse de reprovisionner des débits en utilisant une nouvelle carte.
Il s’inquiète du fait que l’interface de facturation d’Anthropic ne propose pas l’option « supprimer la carte de crédit ». Il n’y a que « mettre à jour le mode de paiement (Update) », ce qui empêche les utilisateurs de détacher la carte du compte.
Les victimes nationales et internationales se manifestent en même temps ; Reddit relaie aussi des cas de fraude
Il est à noter qu’un autre utilisateur canadien a également publié sur le subreddit r/ClaudeAI de Reddit, indiquant que son compte avait été acheté en utilisant une carte de crédit pour un abonnement-cadeau « Gift Max 20x ». Sa perte s’élève à environ 950 CAD (soit environ 700 dollars), et la fraude s’est également poursuivie avec plusieurs débits.
Il a précisé que sur le site de critiques Trustpilot, plusieurs utilisateurs des Pays-Bas, du Royaume-Uni et des États-Unis ont aussi signalé des cas similaires.
Le service client d’Anthropic semble largement inefficace ; contacter la société de carte bancaire devient le moyen le plus rapide pour se sauver
Les deux victimes font face à la même difficulté : le support général d’Anthropic support@anthropic.com ne peut presque pas fournir d’aide immédiate. Après que M. Hong ait signalé le problème le 18 avril, il a ensuite envoyé quatre lettres explicatives supplémentaires, mais pendant 72 heures, aucune réponse d’un humain n’est jamais arrivée : il n’y a eu que des réponses automatisées du Fin AI Agent. L’utilisateur canadien a aussi déclaré que l’efficacité du support de Fin AI est très mauvaise.
À l’heure actuelle, les deux personnes ont toutes deux saisi la société de leur carte bancaire pour contester les débits frauduleux (chargeback), ce qui est aussi la façon la plus rapide pour les victimes d’arrêter les pertes. M. Hong recommande en plus que, si l’on veut contacter l’équipe d’Anthropic, on envoie simultanément des e-mails à usersafety@anthropic.com et disclosure@anthropic.com, afin d’avoir peut-être une chance d’obtenir une réponse plus directe.
Comment se protéger ? Trois étapes pour vérifier immédiatement votre compte Claude
Face à cette vague d’attaques qui continue de se propager, les victimes exhortent tous les utilisateurs de Claude à prendre immédiatement les mesures de protection suivantes.
Tout d’abord, connectez-vous immédiatement à claude.ai, allez dans « Settings → Billing → Invoices », et vérifiez s’il existe des historiques de débits liés à « Gift Max » non autorisés. Dès qu’une telle mention est repérée, contactez immédiatement la banque émettrice de la carte pour demander une contestation de débit, sans attendre une réponse du service client d’Anthropic.
Ensuite, ouvrez la page de gestion des extensions de Chrome (chrome://extensions/), et inspectez minutieusement toutes les extensions installées. Supprimez toute extension inconnue, douteuse, ou toute autre que vous ne vous souvenez pas d’avoir installée volontairement. Ces programmes malveillants se déguisent souvent sous des noms du type « améliorer ou embellir l’interface ».
Enfin, soumettez un ticket de support officiel à Anthropic, et envoyez en même temps des e-mails à usersafety@anthropic.com et disclosure@anthropic.com, afin d’augmenter les chances que votre demande soit traitée par un humain.
Les victimes espèrent également qu’Anthropic renforce rapidement les mécanismes de protection de la plateforme, notamment en permettant aux utilisateurs de retirer effectivement le mode de paiement, d’ajouter une seconde vérification pour les transactions Gift effectuées sur une courte période, et de geler automatiquement le compte après qu’un utilisateur a signalé une arnaque.
Cet article : le compte Claude subit un piratage à grande échelle ! Les victimes à Taïwan et au Canada perdent des dizaines de milliers de dollars, trois étapes pour se protéger immédiatement. Apparait pour la première fois sur 鏈新聞 ABMedia.
Articles similaires
DeepSeek cherche un financement de 1,8 milliard de dollars avec une valorisation de $20B au milieu d’une vague de départs de talents
Message de Gate News, 25 avril — DeepSeek prévoit de lever 1,8 milliard de dollars, valorisant l’entreprise à environ $20 milliards, selon des sources familières du dossier. La levée de fonds intervient alors que la startup d’IA fait face à une attrition importante des talents, plusieurs chercheurs principaux quittant l’entreprise pour rejoindre ByteDance, Tencent, Xiaomi, et la société de véhicules autonomes Horizon Robotics.
GateNewsIl y a 2h
Le juge rejette les allégations de fraude dans la plainte d’Elon Musk contre OpenAI ; l’affaire progresse vers un procès avec deux allégations restantes
Message de Gate News, 24 avril — Un juge fédéral a rejeté les allégations de fraude dans la plainte d’Elon Musk contre OpenAI, Sam Altman, Greg Brockman et Microsoft, ouvrant la voie à la poursuite de l’affaire devant le tribunal sur deux allégations restantes : violation de la confiance à but caritatif et enrichissement injustifié. États-Unis.
GateNewsIl y a 5h
Le PDG d'OpenAI, Sam Altman, s'excuse d'avoir omis de signaler à la police le compte banni du tireur de l'école
Message de Gate News, 25 avril — Le PDG d'OpenAI, Sam Altman, a présenté ses excuses à la communauté de Tamborine, au Canada, pour l'incapacité de l'entreprise à prévenir la police au sujet d'un compte banni lié à Jesse Van Rootselaar, qui a tué huit personnes dans une école en février avant de mettre fin à ses jours. OpenAI
GateNewsIl y a 6h
Les Émirats arabes unis annoncent une transition vers un modèle de gouvernement basé sur l’IA au cours des deux prochaines années
Son Altesse Cheikh Mohammed bin Rashid Al Maktoum a déclaré que l’objectif était que 50% des secteurs gouvernementaux fonctionnent grâce à une IA agentique autonome. La transition comprendra également la formation des employés fédéraux pour « maîtriser l’IA », et sera supervisée par Cheikh Mansour bin Zayed.
Points clés :
CoinpediaIl y a 6h
La plateforme de trading d’IA Fere AI lève 1,3 M$ de fonds, menée par Ethereal Ventures
Message de Gate News, 25 avril — Fere AI, une plateforme de trading d’actifs numériques propulsée par l’IA, a annoncé avoir finalisé un tour de financement de 1,3 million de dollars mené par Ethereal Ventures, avec la participation de Galaxy Vision Hill et de Kosmos Ventures, selon Globenewswire.
La plateforme prend en charge des réseaux inter-chaînes
GateNewsIl y a 7h
Google augmente avec 40 milliards de dollars d’investissement dans Anthropic : d’abord 10 milliards, puis libération de 30 milliards en fonction des résultats, avec une puissance de calcul de 5 GW de TPU
Alphabet augmente sa mise sur Anthropic à 40 milliards de dollars, en deux étapes : première injection de 10 milliards de dollars en espèces, valorisation à 3 800 milliards de dollars ; les 300 milliards de dollars restants seront libérés par tranches après l’atteinte des objectifs de performance. Google Cloud fournira 5 GW de ressources de calcul TPU sur cinq ans ; dans le même temps, Amazon a également annoncé un investissement pouvant aller jusqu’à 25 milliards de dollars, ce qui montre que le soutien en puissance de calcul et en capitaux d’Anthropic se renforce en parallèle.
ChainNewsAbmediaIl y a 7h
