Branle-bas de combat dans le monde des grandes entreprises. Des données sensibles d’employés viennent d’être divulguées sur le dark web, plus d’un an après l’exploitation d’une faille critique dans le logiciel de transfert MOVEit.
L’alerte avait été donnée fin mai 2023, et le patch déployé en septembre de la même année. Divulguée il y a un peu plus d’un an et documentée par le NIST, la découverte d’une faille critique dans le logiciel de transfert de fichiers MOVEit avait alarmé particuliers et professionnels. Estampillée CVE-2023-34362, elle atteignait un score CVSS extrêmement élevé de 9.8, et les chercheurs en cybersécurité avaient confirmé son exploitation active au moment de sa découverte. Pourtant, aucune conséquence directe n’avait jusqu’ici été rapportée. C’est désormais chose faite, alors qu’un hacker vient d’annoncer détenir des informations hautement sensibles sur les employés de 25 grandes entreprises, parmi lesquelles Amazon, HSBC, McDonald’s ou encore HP.
Plus de 3 millions de données dans la nature
C’est une information critique qui provient tout droit de l’entreprise de cybersécurité Hudson Rock. Dans un article détaillé, on apprend que l’exploitation de la faille CVE-2023-34362 a effectivement permis à des hackers de contourner le système d’authentification de MOVEit pour accéder aux bases de données SQL du service, et exfiltrer des millions de données de salariés travaillant au sein d’organisations mondiales.
Parmi les vingt-cinq entreprises victimes confirmées, on retrouve Amazon (plus de 2,8 millions d’informations subtilisées), HSBC (280 000 enregistrements), HP (104 000 enregistrements) et McDonald’s (3 200 enregistrements). Les données comprenant des noms, prénoms, adresses mail, statuts dans l’entreprise, numéros de téléphone, villes, pays des employés concernés viennent tout juste d’être mises en ligne sur un important forum de cybercriminalité par un pirate répondant au pseudonyme de Nam3L3ss. En marge des fichiers CSV divulgués, le hacker s’est fendu d’un commentaire plutôt explicite, enjoignant les professionnels comme les particuliers à redoubler de vigilance concernant l’ampleur d’une telle fuite.
Contacté par les équipes de Hudson Rock, et prompt à la réponse, Nam3L3ss a soutenu n’avoir communiqué qu’une infime portion des données qu’il détient. De ses dires, il serait en possession d’autres informations tout aussi sensibles, concernant 1 000 autres entreprises. Une affirmation qui, si elle se révèle vraie, rehausserait les risques à un niveau autrement critique.
Une recrudescence de tentatives de phishing convaincantes à anticiper
Si les motivations de Nam3L3ss ne sont pas très claires, le pirate a pourtant assuré ne pas être un hacker, et ne pas souhaiter faire de chantage aux organisations impactées. L’idée sous-jacente serait plutôt de sensibiliser les entreprises aux cybermenaces existantes, et rien n’indique qu’il divulguera, à terme, le reste des données qu’il détient.
Malgré tout, les millions d’informations déjà exposées sur le dark web sont accessibles à n’importe quelle personne malintentionnée, et pourraient servir à mener des campagnes de phishing de vaste ampleur. Car ce n’est pas parce que les particuliers ne sont pas directement affectés par cette fuite de données qu’ils ne pourront pas en faire les frais. Bien au contraire.
La quantité et la qualité des informations relatives aux employés d’entreprises telles qu’Amazon ou HSBC pourraient vraisemblablement servir à se faire passer pour des services clients ou des conseillers bancaires, de manière à soutirer d’autres informations sensibles, comme des numéros de CB, des identifiants ou des coordonnées bancaires, grâce à des méthodes de social engineering.
Dans le contexte de cette fuite de données massive, il est donc vivement conseillé de prêter attention aux SMS, mails, voire coups de téléphone reçus. Ne répondez jamais aux messages provenant d’expéditeurs inconnus, contrôlez bien la légitimité des adresses mail qui vous contactent, ne divulguez jamais vos coordonnées bancaires, identifiants, numéros de CB par messages ou téléphones. En cas de doutes, connectez-vous directement à vos comptes utilisateur de services en ligne depuis votre navigateur, et utilisez les canaux de communication intégrés aux pages web (chat, messagerie sécurisée, numéro de téléphone officiel).
Source : Hudson Rock
30 octobre 2024 à 11h48