Data dumps : une niche lucrative

Thèmes:

19 juil. 2021

Au début de l'année, Rajshekhar Rajaharia, chercheur en cybersécurité, a signalé plusieurs violations de données majeures perpétrées par le criminel à l'origine du piratage de Juspay, une entreprise de traitement de paiements pour des détaillants tels qu'Amazon, Uber, Swiggy, et MakeMyTrip, et dont il a, d'ailleurs, détecté et signalé le piratage en août 2020. La violation concernait les données de 35 millions de consommateurs avec entre autres, les noms d'utilisateur, les informations relatives aux cartes bancaires (type, banque émettrice, date d'expiration et le numéro de carte partiellement masqué), etc... Juspay précise que les données ne peuvent être utilisées pour effectuer des transactions et que des mesures ont été prises pour renforcer la sécurité.

Les données de 10 crores (100 millions) de titulaires de carte indiens (notamment les noms, les numéros de téléphone, noms de banque) stockées dans le serveur @juspay ont ainsi été divulguées et étaient disponibles à la vente sur le dark Web.
Story - https://t.co/WczIrFeLel #Infosec #DataLeak #DataBreach #infosecurity #CyberSecurity #GDPR #DataSecurity #Banks #CreditCard #dataprotection pic.twitter.com/X1KYcP8WSh
— Rajshekhar Rajaharia (@rajaharia) 3 janvier 2021

https://www.chqbook.com/

Les autres incidents détectés par Rajaharia concernaient Chqbook, Bigbasket, et bien d'autres. Toutes ces bases de données contenaient des informations jusqu'au mois d'août 2020, moment à partir duquel elles ont été mises en vente sur le dark Web. Rajaharia a été en mesure de vérifier l'exactitude des données divulguées.

Le pirate qui vendait les informations des bases de données de @JusPay vend maintenant celles de nombreuses entreprises indiennes sur le dark Web. @clickindia - 8 millions @chqbook - 1 million @wedmegood - 1,3 million. Même pirate vendant également @bigbasket_com. Il existe peut-être un lien étroit entre toutes les dernières fuites de données. #InfoSec #DataLeak #GDPR pic.twitter.com/zs0mA7NjLR
— Rajshekhar Rajaharia (@rajaharia) 6 janvier 2021

{1}

Un domaine criminel lucratif

Les violations et les dumps de données ne sont pas une nouveauté. La première importante violation a été signalée en 2004 lorsqu'un employé d'America Online (AOL) a volé les informations de 92 millions de clients (noms de compte, codes postaux, numéros de téléphone et types de cartes bancaires). Il ne s'agit pas de data dump à proprement parler puisque les informations ont été vendues à un spammer pour ensuite être revendues plusieurs fois à d'autres spammers. Finalement, elles ont été vendues à un informateur, et deux des spammeurs ont été poursuivis en vertu de la nouvelle loi fédérale antispam. Cet incident a mis en évidence deux points en particulier pour les pirates informatiques et les spammeurs :

Les forces de l'ordre accordent beaucoup d'importance à la cybercriminalité

Les données peuvent être monétisées plusieurs fois avant de perdre de la valeur

Le développement d'un dark Web mondial a favorisé les criminels sur ces deux points : ils sont difficilement identifiables, leurs opérations peuvent être exécutées depuis différentes localisations et la marketplace criminelle leur permet d'atteindre et de négocier facilement avec des acheteurs potentiels. La valeur des données de Juspay était de 8 000 $ et elles ont finalement été vendues pour 5 000 $.

La valeur des données partielles

Les ensembles de données qui sont à jour, contiennent une adresse e-mail, un mot de passe et autres informations personnelles sensibles, seront toujours utiles aux criminels. En revanche, les données de Juspay datent de plusieurs mois, il n'y a pas de mot de passe, et elles ne peuvent pas être utilisées pour effectuer des achats car la plupart des informations des carte bancaires sont masquées par une fonction de hachage. Alors pourquoi payer 5 000 $ pour les récupérer ?

Rajshekhar Rajaharia apporte également une réponse à cette question : « Si les valeurs hachées des cartes sont piratées, même dans deux ans, toutes ces données pourront être divulguées sur le dark Web. » Une telle manœuvre est possible via des attaques par force brute ou si un employé négligent ou mécontent laisse fuiter des informations.

Les dumps de données partiels peuvent également être combinés, permettant ainsi au criminel de faire correspondre les noms et les adresses e-mail d'un dump de données avec un ensemble complet d'identifiants d'un autre dump. Il suffit que les ensembles aient un seul champ en commun pour que le hacker puisse combiner les données correctement. Dans un rapport publié en 2019, IBM indique qu'en moyenne, une violation de données correspond à 25 575 enregistrements. Même si seule la moitié d'un dump de données de taille moyenne peut être combinée avec un autre dump, ce sont au final des milliers de comptes d'utilisateurs, de données de paiement et autres données sensibles qui sont susceptibles d'être compromis. Ce type d'accès peut nuire aux personnes concernées pendant des années car les informations personnelles sont utilisées et vendues à de nouveaux criminels sur une longue période.

Perpective business

Aucune entreprise ne veut être confrontée à une violation de données. L'expliquer aux clients, aux fournisseurs et aux employés est relativement embarrassant et peut altérer les relations. Y remédier est également très couteux si l'on tient compte des mesures correctives, du temps d'arrêt des activités, des coûts de mise en conformité et des pertes de marché causées par un manque de confiance des clients dans votre marque. Ce manque de confiance peut d'ailleurs prendre de l'ampleur dans le temps, car les données subtilisées peuvent être utilisées dans certains types d'attaques pour voler les données d'une autre entreprise. Ce qui fut le cas par exemple lors de la violation de données de Target : les criminels ont pu voler des identifiants auprès de Fazio Mechanical Services, (le prestataire de services CVC de Target), les utiliser pour accéder à une application Web sur le réseau interne de Target, et accéder ainsi aux systèmes et aux données des points de vente de la marque.

Le rapport Verizon 2020 sur les violations de données (Data Breach Investigations Report) identifie huit actions entraînant des violations de données :

Source : Rapport Verizon 2020 sur les violations de données (Data Breach Investigations Report)Le phishing et le vol d'identifiants restent les deux menaces les plus importantes, mais quatre autres prennent de l'ampleur :

Erreur de destinataire : erreur humaine se traduisant par l'envoi de données au mauvais destinataire

Erreur de configuration : les actifs liés à Internet sont compromis car ils n'ont pas été correctement sécurisés

Password dumper (outil de dump de mot de passe) : type de malware qui extrait les mots de passe chiffrés depuis un ordinateur hôte

Ransomware : malware qui chiffre les fichiers et exige une somme d'argent en échange du déchiffrement

Protéger vos données

Les principales violations de données exploitent plusieurs vecteurs de menace, que les équipes informatiques doivent protéger contre les attaques les plus récentes. Les solutions Barracuda offrent une protection contre les attaques des réseaux, des applications et des e-mails, et protègent les données des entreprises sur site ou dans le cloud. La plupart de nos produits sont disponibles sur les marketplaces Azure et AWS, et proposent un essai gratuit de 30 jours.

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda. Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.