Connexion
Abonnez-vous

Shadow piraté, des données personnelles des clients dans la nature

Shadow piraté, des données personnelles des clients dans la nature

Le 12 octobre 2023 à 05h14

Hier, la société a envoyée un email à ses clients pour les informer d’un « incident récent affectant la sécurité de certaines données hébergées chez un de [ses] prestataires ». La brèche a évidemment été comblée.

Dans le lot, on retrouve « votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. Il est important de préciser qu’aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis ». 

On apprécie par contre que l’entreprise explique clairement la situation, qui peut servir de piqûre de rappel sur la cybersécurité et que cela n’arrive pas qu’aux autres : 

« À la fin du mois de septembre, nous avons été victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de la même attaque.

Notre équipe de sécurité a immédiatement pris les actions nécessaires. Malgré nos actions, l’attaquant a pu exploiter l’un des cookies dérobés pour se connecter sur l’interface de gestion d’un de nos fournisseurs SaaS. Grâce à ce cookie, désormais désactivé, l’attaquant a su extraire, via l’API de notre fournisseur de SaaS, certaines informations privées vous concernant ».

Comme toujours en pareille situation, le risque vient du phishing avec le pirate qui tenterait de se faire passer pour Shadow et récupérer des informations supplémentaires. Shadow recommande au passage d’activer le MFA si ce n’est pas déjà fait.

Le 12 octobre 2023 à 05h14

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il est important de préciser qu’aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis




AH parce que la date d’expiration de la CB n’en est pas une ? Recoupé avec d’autres fuites, ça peut faire la différence justement…

votre avatar

Si tu pars de ce principe, les autres données le sont tout autant.

votre avatar

un joli mail de pishing envoyé au bon moment du style votre carte bleue va expirer , il y a un problème pour le renouvèlement automatique veuillez cliquer sur le lien pour le résoudre ?
Vous pensiez à quelque chose dans ce gout-là ?

votre avatar

C’est une des possibilités, ou une fuite partielle sur une autre base qui permet de compléter le puzzle aussi.

votre avatar

L’intention de départ était de pirater Steam… depuis un ordi pro ou depuis un ordi perso se connectant sur du pro.
Chacun fait ce qu’il veut dans sa vie privée, mais elle doit être bien cloisonnée de la vie pro.
Et inversement. Employeur et employé sont engagés sur ce sujet. Et le “droit à la déconnexion” peut aussi être un devoir pour éviter ce genre de déconvenue.

votre avatar

De ce que je comprends, le malware a eu accès à discord… donc pas besoin d’un mélange travail/jeux, juste un accès au discord entreprise depuis une machine non pro.

votre avatar

Plutôt une connaissance d’un employé qui s’est fait pirater son compte discord, puis a envoyé un jeu steam (de quelle manière?) contenant le malware, jeu qui a été installé par l’employé et qui a exfiltré un cookie de session.

votre avatar

Discord n’est pas une solution d’entreprise.

votre avatar

en fait, ya finalement du bon dans le topic de Severance !
https://fr.wikipedia.org/wiki/Severance_(s%C3%A9rie_t%C3%A9l%C3%A9vis%C3%A9e)
:D

votre avatar

Oui mail reçu hier avec une précision exemplaire. J’avais chez eux un espace de stockage datant de ovh.

votre avatar

votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire.




En 2023 ces données ne sont toujours pas chiffrées ? :reflechis:

votre avatar

la donnée brute est probablement stockée chiffrée, mais si y’a une api pour y accéder, l’api va les retourner de manière lisible à priori …

votre avatar

D’accord. Mais il y a alors un autre problème : pourquoi l’API retournerait toutes les données de toutes les utilisateurs, si on en fait la demande ? Pourquoi l’accès n’est pas limité (en volume de données, ou sur une période donnée) ?

votre avatar

rien ne dit que ce n’est pas le cas, on n’a pas la volumétrie extraite ni le temps que ça a pris.
on n’a pas non plus d’info concernant l’api elle-même, elle pourrait très bien être légitime pour faire des exports comptables par exemple.



mais elle pourrait tout à fait être “bancale” et mettre à disposition des méthodes d’accès à des données “en masse”, alors que rien n’a besoin de faire de tels appels coté “métier”, c’est tout à fait possible aussi.



ce n’est que pure spéculation dans les 2 cas.

votre avatar

Exactement. Ce réflexe du mot “chiffré” à tout va dès que l’on parle de données me sidère.
Ce niveau de compréhension en 2023 dans des commentaires sur une publication en ligne rassemblant des gens peu-ou-prou un minimum connaisseur de la technologie m’inquiète.



On ne chiffre qu’un contenu d’un tuyau, contre un adversaire cherchant à détourner le tuyau, utilisant un accès non prévu.
Dans le cadre d’un stockage sur disque, où une donnée est chiffrée à l’écriture et déchiffrée à la lecture, le disque est le tuyau, et on ne se protège que du vol du disque, ou du vol d’une machine éteinte.



Ici, on parle plutôt de données personnelles et de leur accès.
Dans le cadre de l’exploitation de compte client, il faut bien que les systèmes de production y accèdent pour les exploiter (afficher les données du compte, générer des commandes, etc.).
En l’occurrence, les informations citées ressemblent très fort à ce que l’on retrouve niveau facturation. Et ces données doivent être conservées légalement.



Si le système de production ou facturation a été compromis, eh bien… il a eu accès à tout ça. Et ça n’est pas anormal.

votre avatar

skan a dit:


L’intention de départ était de pirater Steam… depuis un ordi pro ou depuis un ordi perso se connectant sur du pro. Chacun fait ce qu’il veut dans sa vie privée, mais elle doit être bien cloisonnée de la vie pro. Et inversement. Employeur et employé sont engagés sur ce sujet. Et le “droit à la déconnexion” peut aussi être un devoir pour éviter ce genre de déconvenue.




Dans le cadre de Shadow, ça peut être un peu plus compliqué que ça, il y a moyen que t’ai besoin de Steam pour le boulot, et de jeux aussi. Même si la formulation ne donne pas l’impression que c’est le cas ici.
Le conseil n’en reste pas moins pertinent :yes:

votre avatar

(reply:2158078:dvr-x)




ça l’est pour du SE, tandis que la date de la carte est une des clés pour des transactions frauduleuses

votre avatar

Ce n’est pas une clé mais une vérification.
Pour moi, la date est une donnée bancaire mais pas une donnée sensible.



La date n’est nullement nécessaire pour une transaction par carte, seul le numéro de la carte l’est.

votre avatar

“Dans le lot, on retrouve « votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. Il est important de préciser qu’aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis ». “



:keskidit:

votre avatar

Client jusqu’en 2020-2021, je n’ai pas reçu l’email. Tout le monde l’a eu ou seulement les clients actifs/très récents ?

votre avatar

Donc ça veut dire qu’ils stockent la date d’expiration de la carte bancaire, mais pas le numéro de carte ? À quoi ça leur sert d’avoir juste la date ?

votre avatar

Envoyer un mail de rappel quand ta carte va expirer ?

votre avatar

Ils ne disent pas qu’ils ne stockent pas le numéro de carte. C’est juste surement un emplacement séparé et bien plus sécurisé, avec chiffrement.



1 chance sur 20 de trouver la bonne banque quand même pour rendre le mail cohérent, mais en effet, ca pourrait.

votre avatar

Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam




“Hautement sophistiquée” ? Ce type d’attaque est un grand classique sur Discord depuis des années.



Comme quoi, l’humain sera toujours le maillon faible dans la cyber…

votre avatar

Concernant le lien dans l’article pour le MFA :



https://86z8l.r.a.d.sendibm1.com/mk/cl/f/sh/7nVU1aA2nfsTSlSsf7TxZACWXATNZ2K/Kdj1zQKUN8N5



C’est quoi cette URL dégueulasse ? Sur un article relatif à de la fuite de donnée, ça donne pas vraiment confiance. Perso je cliquerai pas là dessus sans savoir de quoi il s’agit.

votre avatar
votre avatar

Je n’ai pas vu le contenu du mail en question mais vraisemblablement, c’est un mail envoyé avec via la plateforme de mailing Sendinblue et le lien proposé a du être extrait directement du mail en question.
Mais je suis d’accord que lien post-redirection aurait été préférable d’autant que ça alimente tout le tracking derrière ces liens de transition.

votre avatar

(reply:2158151:dvr-x)
j’ai reçu des mail de pishing pour tout un tas de banques au pifs des fois que ce soit le bonne, ces envoi en masse ne leur coutent pas cher et même avec un pour cent de réussite c’est rentable


votre avatar

Berbe a dit:


Exactement. Ce réflexe du mot “chiffré” à tout va dès que l’on parle de données me sidère. Ce niveau de compréhension en 2023 dans des commentaires sur une publication en ligne rassemblant des gens peu-ou-prou un minimum connaisseur de la technologie m’inquiète.




Tu aurais pu expliqué ce qui suit ce passage sans être suffisant voire méprisant.



Jarodd n’est pas quelqu’un que je décrirais comme connaisseur de la technologie et ce n’est pas un reproche envers lui, juste une constatation à la lecture de ses commentaires. Un peu de bienveillance !

votre avatar

Gorom a dit:


Mais je suis d’accord que lien post-redirection aurait été préférable d’autant que ça alimente tout le tracking derrière ces liens de transition.




Et surtout que ça envoie un très mauvais signal quant à l’hygiène numérique. Surtout pour un lien qui invite à activer une mesure de sécurité ! Sur un article relatant de piratage et vol de données personnelles, c’est franchement pas terrible de voir l’antithèse des bonnes pratiques : cliquer sur un lien random sans savoir de quoi il s’agit.

votre avatar

Altair31 a dit:


Ce n’est pas une clé mais une vérification. Pour moi, la date est une donnée bancaire mais pas une donnée sensible.



La date n’est nullement nécessaire pour une transaction par carte, seul le numéro de la carte l’est.




Ça m’intéresse. Tu fais comment pour commander un article sans fournir la date ? (perso j’ai jamais pu)

votre avatar

Tu achètes sur des sites étrangers qui se moquent de la sécurité et demandent simplement le numéro.
J’en ai pas en tête mais j’en ai malheureusement fait les frais (merci aux lois qui m’ont permis de tout récupérer)

votre avatar

:merci:

votre avatar

Yeaaah !!!
Il va y avoir des pots :)



Nous la faites pas à l’envers avec NextInpact ^^

votre avatar

Si c’est des données pour la compta en quoi crest nécessaire d’avoir accès à teams ? Et surtout leur mail précise : « nous avons pris des mesures immédiates pour sécuriser nos systèmes et avons pris toutes les précautions nécessaires pour éviter de futurs incidents. Nous avons également renforcé les protocoles de sécurité que nous appliquons avec l’ensemble de nos prestataires SaaS. »
POURQUOI ÇA N’A PAS ÉTÉ FAIT AVANT :cartonrouge:

votre avatar

Donc on peut retrouver sur des sites russes mon prénom, mon nom, ma date de naissance et mon adresse dans un même fichier. Je suis ravi ! Merci Octave Klaba pour cette super infosec. Par ailleurs, parler d’attaque « hautement sophistiquée » lorsque Linus Tech Tips s’est aussi fait avoir récemment, c’est un peu gros. Les attaques par vol de cookies ne sont ni récentes et ni « sophistiquées ».

Shadow piraté, des données personnelles des clients dans la nature

Fermer