Nouvelle fuite de données à l’Urssaf, 12 millions de victimes potentielles

Le 20 janvier à 08h09

Le 20 janvier à 08h09

Commentaires (14)

votre avatar
Union Regroupant les Sans Sécurité et Afficionados des Fuites ?
votre avatar
:dix:
votre avatar
Il y a du :
*) mauvais, la fuite
*) et du bon, ils surveillent leurs API, c'est un progrès en maturité sécurité...
votre avatar
un jour, ils découvriront les limites de requêtes par heure par token, le MFA, et les indicateurs et alertes automatiques en cas de flux trop importants... mais pas ce soir apparemment
votre avatar
votre avatar
Je vais monter un site sur lequel je vais mettre mes propres données personnelles à la vente, au moins ça me rapportera un peu de sous et je ne serai plus inquiété par les fuites éventuelles.
votre avatar
On parle des données de l'URSSAF, mais l'organisme n'est pas directement en cause alors ? C'est plutôt le prestataire qui est fautif ?
L'URSSAF a juste détecté le mésusage et pris les précautions nécessaires.
votre avatar
Ce qui me fait bondir (contre l'URSAFF mais aussi pour moi !) c'est qu'il n'y a pas eu d'indicateur visible pour dire qu'un flux important était en cours ? Une telle extraction doit bien être visible sur les serveurs ?
N'y a-t-il pas des alertes à ce sujet dans des grosses bases de données ?
(Bossant pour une administration bien plus petite, je me dis aussi qu'il serait bien que j'essaye de mettre au point un tel système)
votre avatar
Je suppute que le SIEM aurait du déclencher une alerte, pour peu que les logs spécifiques soient intégrés.

Mais ça fait beaucoup de conditions : SIEM -> Visibilité sur ce point spécifique -> Règles de détection et d'alertes configurées.
votre avatar
Parfois ils envoient les données mais pas à fond les ballons, justement pour éviter que le flux soit trop important et génère une alerte.
votre avatar
En plus c'est même pas forcément au niveau réseau qu'on peut/doit le faire. Les BDDs ont depuis des lustres ces fonctionnalités (Nbr query/sec, etc). Parfois même dans la configuration par défaut.

Faut croire qu'on a des professionnels de la fumisterie. Cette fois ci c'est pas volé.

L'URSSAF est le centre autour duquel gravitent la totalité des entreprises. En bref pour faire de l'intelligence économique (donc la guerre), y'a pas mieux que de s'en prendre à cette administration.

Et donc, quand on est capable de voir qu'on sera la cible N°1, il faut blinder. Y compris chez les prestataires. ... ... Ha heu désolé j'ai oublié qu'il y avait un prestataire dans la boucle... Oui... nan... mais parfois j'oublie qu'on est dans un monde à complètement à l'envers.
votre avatar
Il est difficile de vraiment savoir si ça aurait pu protéger car on manque d'informations : peut-être que cette API est justement une API d'export de masse, auquel cas de gros flux sont attendus ou peut-être que le partenaire s'est fait choper sa clé il y a 3 mois et que le pirate a exporté progressivement en prenant garde à ne pas faire sonner de règles.
On ne sais pas vraiment : on a aucune info sur l'API concernée, ni sur la temporalité.
votre avatar
« ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans »
Ouf, je suis de fait épargné pour une fois.

Sinon, j'ai l'impression qu'il y a un point qui manque à beaucoup de systèmes de sécurité, c'est de surveiller le volume de requêtes.

Parce que bon, qu'on dérobe des identifiants, ça se conçoit, par contre qu'on puisse tout rapatrier avec un unique identifiant et généralement dans des temps assez restreints, c'est quand même un souci de limitation des droits associés.

Y'a un moment, au bout de plusieurs milliers de requêtes provenant d'un seul utilisateur "pas prévu pour ça", on devrait soupçonner quelque chose non ? Je pense pas que le salarié moyen de l'Urssaf charge 20 000 fiches dans sa journée.
votre avatar
le tout pour 45% de votre CA m'sieurs dames... :bocul:

Nouvelle fuite de données à l’Urssaf, 12 millions de victimes potentielles

Fermer