Shadow piraté, des données personnelles des clients dans la nature
Le 12 octobre 2023 à 05h14
2 min
Internet
Hier, la société a envoyée un email à ses clients pour les informer d’un « incident récent affectant la sécurité de certaines données hébergées chez un de [ses] prestataires ». La brèche a évidemment été comblée.
Dans le lot, on retrouve « votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. Il est important de préciser qu’aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis ».
On apprécie par contre que l’entreprise explique clairement la situation, qui peut servir de piqûre de rappel sur la cybersécurité et que cela n’arrive pas qu’aux autres :
« À la fin du mois de septembre, nous avons été victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de la même attaque.
Notre équipe de sécurité a immédiatement pris les actions nécessaires. Malgré nos actions, l’attaquant a pu exploiter l’un des cookies dérobés pour se connecter sur l’interface de gestion d’un de nos fournisseurs SaaS. Grâce à ce cookie, désormais désactivé, l’attaquant a su extraire, via l’API de notre fournisseur de SaaS, certaines informations privées vous concernant ».
Comme toujours en pareille situation, le risque vient du phishing avec le pirate qui tenterait de se faire passer pour Shadow et récupérer des informations supplémentaires. Shadow recommande au passage d’activer le MFA si ce n’est pas déjà fait.
Le 12 octobre 2023 à 05h14
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/10/2023 à 06h43
#1
AH parce que la date d’expiration de la CB n’en est pas une ? Recoupé avec d’autres fuites, ça peut faire la différence justement…
Le 12/10/2023 à 06h51
#1.1
Si tu pars de ce principe, les autres données le sont tout autant.
Le 12/10/2023 à 09h14
#1.2
un joli mail de pishing envoyé au bon moment du style votre carte bleue va expirer , il y a un problème pour le renouvèlement automatique veuillez cliquer sur le lien pour le résoudre ?
Vous pensiez à quelque chose dans ce gout-là ?
Le 12/10/2023 à 10h03
#1.2.1
C’est une des possibilités, ou une fuite partielle sur une autre base qui permet de compléter le puzzle aussi.
Le 12/10/2023 à 06h45
#2
L’intention de départ était de pirater Steam… depuis un ordi pro ou depuis un ordi perso se connectant sur du pro.
Chacun fait ce qu’il veut dans sa vie privée, mais elle doit être bien cloisonnée de la vie pro.
Et inversement. Employeur et employé sont engagés sur ce sujet. Et le “droit à la déconnexion” peut aussi être un devoir pour éviter ce genre de déconvenue.
Le 12/10/2023 à 08h18
#2.1
De ce que je comprends, le malware a eu accès à discord… donc pas besoin d’un mélange travail/jeux, juste un accès au discord entreprise depuis une machine non pro.
Le 12/10/2023 à 08h33
#2.1.1
Plutôt une connaissance d’un employé qui s’est fait pirater son compte discord, puis a envoyé un jeu steam (de quelle manière?) contenant le malware, jeu qui a été installé par l’employé et qui a exfiltré un cookie de session.
Le 15/10/2023 à 21h11
#2.1.2
Discord n’est pas une solution d’entreprise.
Le 12/10/2023 à 12h13
#2.2
en fait, ya finalement du bon dans le topic de Severance !
https://fr.wikipedia.org/wiki/Severance_(s%C3%A9rie_t%C3%A9l%C3%A9vis%C3%A9e)
Le 12/10/2023 à 06h45
#3
Oui mail reçu hier avec une précision exemplaire. J’avais chez eux un espace de stockage datant de ovh.
Le 12/10/2023 à 07h03
#4
En 2023 ces données ne sont toujours pas chiffrées ?
Le 12/10/2023 à 07h28
#4.1
la donnée brute est probablement stockée chiffrée, mais si y’a une api pour y accéder, l’api va les retourner de manière lisible à priori …
Le 12/10/2023 à 08h56
#4.1.1
D’accord. Mais il y a alors un autre problème : pourquoi l’API retournerait toutes les données de toutes les utilisateurs, si on en fait la demande ? Pourquoi l’accès n’est pas limité (en volume de données, ou sur une période donnée) ?
Le 12/10/2023 à 09h29
#4.1.2
rien ne dit que ce n’est pas le cas, on n’a pas la volumétrie extraite ni le temps que ça a pris.
on n’a pas non plus d’info concernant l’api elle-même, elle pourrait très bien être légitime pour faire des exports comptables par exemple.
mais elle pourrait tout à fait être “bancale” et mettre à disposition des méthodes d’accès à des données “en masse”, alors que rien n’a besoin de faire de tels appels coté “métier”, c’est tout à fait possible aussi.
ce n’est que pure spéculation dans les 2 cas.
Le 12/10/2023 à 10h52
#4.1.3
Exactement. Ce réflexe du mot “chiffré” à tout va dès que l’on parle de données me sidère.
Ce niveau de compréhension en 2023 dans des commentaires sur une publication en ligne rassemblant des gens peu-ou-prou un minimum connaisseur de la technologie m’inquiète.
On ne chiffre qu’un contenu d’un tuyau, contre un adversaire cherchant à détourner le tuyau, utilisant un accès non prévu.
Dans le cadre d’un stockage sur disque, où une donnée est chiffrée à l’écriture et déchiffrée à la lecture, le disque est le tuyau, et on ne se protège que du vol du disque, ou du vol d’une machine éteinte.
Ici, on parle plutôt de données personnelles et de leur accès.
Dans le cadre de l’exploitation de compte client, il faut bien que les systèmes de production y accèdent pour les exploiter (afficher les données du compte, générer des commandes, etc.).
En l’occurrence, les informations citées ressemblent très fort à ce que l’on retrouve niveau facturation. Et ces données doivent être conservées légalement.
Si le système de production ou facturation a été compromis, eh bien… il a eu accès à tout ça. Et ça n’est pas anormal.
Le 12/10/2023 à 07h32
#5
Dans le cadre de Shadow, ça peut être un peu plus compliqué que ça, il y a moyen que t’ai besoin de Steam pour le boulot, et de jeux aussi. Même si la formulation ne donne pas l’impression que c’est le cas ici.
Le conseil n’en reste pas moins pertinent
Le 12/10/2023 à 07h58
#6
ça l’est pour du SE, tandis que la date de la carte est une des clés pour des transactions frauduleuses
Le 12/10/2023 à 10h32
#6.1
Ce n’est pas une clé mais une vérification.
Pour moi, la date est une donnée bancaire mais pas une donnée sensible.
La date n’est nullement nécessaire pour une transaction par carte, seul le numéro de la carte l’est.
Le 12/10/2023 à 08h29
#7
Le 12/10/2023 à 08h44
#8
Client jusqu’en 2020-2021, je n’ai pas reçu l’email. Tout le monde l’a eu ou seulement les clients actifs/très récents ?
Le 12/10/2023 à 08h46
#9
Donc ça veut dire qu’ils stockent la date d’expiration de la carte bancaire, mais pas le numéro de carte ? À quoi ça leur sert d’avoir juste la date ?
Le 12/10/2023 à 08h50
#9.1
Envoyer un mail de rappel quand ta carte va expirer ?
Le 12/10/2023 à 09h53
#9.2
Ils ne disent pas qu’ils ne stockent pas le numéro de carte. C’est juste surement un emplacement séparé et bien plus sécurisé, avec chiffrement.
1 chance sur 20 de trouver la bonne banque quand même pour rendre le mail cohérent, mais en effet, ca pourrait.
Le 12/10/2023 à 09h12
#10
“Hautement sophistiquée” ? Ce type d’attaque est un grand classique sur Discord depuis des années.
Comme quoi, l’humain sera toujours le maillon faible dans la cyber…
Le 12/10/2023 à 09h42
#11
Concernant le lien dans l’article pour le MFA :
https://86z8l.r.a.d.sendibm1.com/mk/cl/f/sh/7nVU1aA2nfsTSlSsf7TxZACWXATNZ2K/Kdj1zQKUN8N5
C’est quoi cette URL dégueulasse ? Sur un article relatif à de la fuite de donnée, ça donne pas vraiment confiance. Perso je cliquerai pas là dessus sans savoir de quoi il s’agit.
Le 12/10/2023 à 10h42
#11.1
Je ne pige pas non plus, surtout que ça fait qu’une redirection vers cette URL :
https://support.shadow.tech/en_US/articles/authentication/how-does-twofactor-authentication-2fa-work-on-shadow/64e3101304a01d0067a5ef1f
Le 12/10/2023 à 10h58
#11.2
Je n’ai pas vu le contenu du mail en question mais vraisemblablement, c’est un mail envoyé avec via la plateforme de mailing Sendinblue et le lien proposé a du être extrait directement du mail en question.
Mais je suis d’accord que lien post-redirection aurait été préférable d’autant que ça alimente tout le tracking derrière ces liens de transition.
Le 12/10/2023 à 10h51
#12
Le 12/10/2023 à 11h01
#13
Tu aurais pu expliqué ce qui suit ce passage sans être suffisant voire méprisant.
Jarodd n’est pas quelqu’un que je décrirais comme connaisseur de la technologie et ce n’est pas un reproche envers lui, juste une constatation à la lecture de ses commentaires. Un peu de bienveillance !
Le 12/10/2023 à 11h08
#14
Et surtout que ça envoie un très mauvais signal quant à l’hygiène numérique. Surtout pour un lien qui invite à activer une mesure de sécurité ! Sur un article relatant de piratage et vol de données personnelles, c’est franchement pas terrible de voir l’antithèse des bonnes pratiques : cliquer sur un lien random sans savoir de quoi il s’agit.
Le 12/10/2023 à 12h05
#15
Ça m’intéresse. Tu fais comment pour commander un article sans fournir la date ? (perso j’ai jamais pu)
Le 16/10/2023 à 07h37
#15.1
Tu achètes sur des sites étrangers qui se moquent de la sécurité et demandent simplement le numéro.
J’en ai pas en tête mais j’en ai malheureusement fait les frais (merci aux lois qui m’ont permis de tout récupérer)
Le 16/10/2023 à 08h33
#15.1.1
Le 12/10/2023 à 16h09
#16
Yeaaah !!!
Il va y avoir des pots :)
Nous la faites pas à l’envers avec NextInpact ^^
Le 12/10/2023 à 20h29
#17
Si c’est des données pour la compta en quoi crest nécessaire d’avoir accès à teams ? Et surtout leur mail précise : « nous avons pris des mesures immédiates pour sécuriser nos systèmes et avons pris toutes les précautions nécessaires pour éviter de futurs incidents. Nous avons également renforcé les protocoles de sécurité que nous appliquons avec l’ensemble de nos prestataires SaaS. »
POURQUOI ÇA N’A PAS ÉTÉ FAIT AVANT
Le 14/10/2023 à 12h29
#18
Donc on peut retrouver sur des sites russes mon prénom, mon nom, ma date de naissance et mon adresse dans un même fichier. Je suis ravi ! Merci Octave Klaba pour cette super infosec. Par ailleurs, parler d’attaque « hautement sophistiquée » lorsque Linus Tech Tips s’est aussi fait avoir récemment, c’est un peu gros. Les attaques par vol de cookies ne sont ni récentes et ni « sophistiquées ».