Data dumps : une niche lucrative

Version imprimable, PDF et e-mail

Earlier this year Internet security researcher Rajshekhar Rajaharia revealed several large data breaches by the same criminal who dumped the data from the Juspay breach. Rajaharia is the researcher who discovered and reported that Juspay, a payment processing company for retailers like Amazon, Uber, Swiggy, and MakeMyTrip, was compromised in August 2020. The data breach involved the records of 35 million consumers, including username, card type, the bank that has issued the card, card expiry date, and partially unmasked card number, among other details. Juspay reports that the data cannot be used to make transactions, and the company has taken steps to increase security.

 

Les autres incidents détectés par Rajaharia concernaient Chqbook, Bigbasket, et bien d'autres. Toutes ces bases de données contenaient des informations jusqu'au mois d'août 2020, moment à partir duquel elles ont été mises en vente sur le dark Web.  Rajaharia a été en mesure de vérifier l'exactitude des données divulguées.

Un domaine criminel lucratif

Les violations et les dumps de données ne sont pas une nouveauté. La première importante violation a été signalée en 2004 lorsqu'un employé d'America Online (AOL) a volé les informations de 92 millions de clients (noms de compte, codes postaux, numéros de téléphone et types de cartes bancaires). Il ne s'agit pas de data dump à proprement parler puisque les informations ont été vendues à un spammer pour ensuite être revendues plusieurs fois à d'autres spammers. Finalement, elles ont été vendues à un informateur, et deux des spammeurs ont été poursuivis en vertu de la nouvelle loi fédérale antispam. Cet incident a mis en évidence deux points en particulier pour les pirates informatiques et les spammeurs :

  • Les forces de l'ordre accordent beaucoup d'importance à la cybercriminalité
  • Les données peuvent être monétisées plusieurs fois avant de perdre de la valeur

Le développement d'un dark Web mondial a favorisé les criminels sur ces deux points : ils sont difficilement identifiables, leurs opérations peuvent être exécutées depuis différentes localisations et la marketplace criminelle leur permet d'atteindre et de négocier facilement avec des acheteurs potentiels. La valeur des données de Juspay était de 8 000 $ et elles ont finalement été vendues pour 5 000 $.

La valeur des données partielles

Les ensembles de données qui sont à jour, contiennent une adresse e-mail, un mot de passe et autres informations personnelles sensibles, seront toujours utiles aux criminels. En revanche, les données de Juspay datent de plusieurs mois, il n'y a pas de mot de passe, et elles ne peuvent pas être utilisées pour effectuer des achats car la plupart des informations des carte bancaires sont masquées par une fonction de hachage. Alors pourquoi payer 5 000 $ pour les récupérer ?

Rajshekhar Rajaharia apporte également une réponse à cette question : « Si les valeurs hachées des cartes sont piratées, même dans deux ans, toutes ces données pourront être divulguées sur le dark Web. » Une telle manœuvre est possible via des attaques par force brute ou si un employé négligent ou mécontent laisse fuiter des informations.

Les dumps de données partiels peuvent également être combinés, permettant ainsi au criminel de faire correspondre les noms et les adresses e-mail d'un dump de données avec un ensemble complet d'identifiants d'un autre dump. Il suffit que les ensembles aient un seul champ en commun pour que le hacker puisse combiner les données correctement. Dans un rapport publié en 2019, IBM indique qu'en moyenne, une violation de données correspond à 25 575 enregistrements. Même si seule la moitié d'un dump de données de taille moyenne peut être combinée avec un autre dump, ce sont au final des milliers de comptes d'utilisateurs, de données de paiement et autres données sensibles qui sont susceptibles d'être compromis. Ce type d'accès peut nuire aux personnes concernées pendant des années car les informations personnelles sont utilisées et vendues à de nouveaux criminels sur une longue période.

Perpective business

Aucune entreprise ne veut être confrontée à une violation de données. L'expliquer aux clients, aux fournisseurs et aux employés est relativement embarrassant et peut altérer les relations. Y remédier est également très couteux si l'on tient compte des mesures correctives, du temps d'arrêt des activités, des coûts de mise en conformité et des pertes de marché causées par un manque de confiance des clients dans votre marque. Ce manque de confiance peut d'ailleurs prendre de l'ampleur dans le temps, car les données subtilisées peuvent être utilisées dans certains types d'attaques pour voler les données d'une autre entreprise. Ce qui fut le cas par exemple lors de la violation de données de Target : les criminels ont pu voler des identifiants auprès de Fazio Mechanical Services, (le prestataire de services CVC de Target), les utiliser pour accéder à une application Web sur le réseau interne de Target, et accéder ainsi aux systèmes et aux données des points de vente de la marque.

Le rapport Verizon 2020 sur les violations de données (Data Breach Investigations Report) identifie huit actions entraînant des violations de données :

Source : Rapport Verizon 2020 sur les violations de données (Data Breach Investigations Report)
Le phishing et le vol d'identifiants restent les deux menaces les plus importantes, mais quatre autres prennent de l'ampleur :
  • Erreur de destinataire : erreur humaine se traduisant par l'envoi de données au mauvais destinataire
  • Erreur de configuration : les actifs liés à Internet sont compromis car ils n'ont pas été correctement sécurisés
  • Password dumper (outil de dump de mot de passe) : type de malware qui extrait les mots de passe chiffrés depuis un ordinateur hôte
  • Ransomware : malware qui chiffre les fichiers et exige une somme d'argent en échange du déchiffrement

Protéger vos données

Les principales violations de données exploitent plusieurs vecteurs de menace, que les équipes informatiques doivent protéger contre les attaques les plus récentes. Les solutions Barracuda offrent une protection contre les attaques des réseaux, des applications et des e-mails, et protègent les données des entreprises sur site ou dans le cloud. La plupart de nos produits sont disponibles sur les marketplaces Azure et AWS, et proposent un essai gratuit de 30 jours.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager