Barracuda full logo

Dell : 49 millions de dossiers clients dévoilés lors d'une attaque automatique

Thèmes:
23 mai 2024
|
Tushar Richabadas

« Nous avons essayé de vous joindre au sujet de l’extension de garantie de votre ordinateur portable. »

 

Il y a quelques semaines, le Daily Dark Web a annoncé que Dell avait été piraté. En fait, il a signalé qu'un pirate prétendait vendre une base de données Dell contenant 49 millions de dossiers clients. Ces dossiers comprenaient les informations sur les systèmes achetés à Dell entre 2017 et 2024, et les données contenaient de nombreuses informations sur les clients, y compris les numéros de série, les numéros d'articles, les informations relatives à la garantie, les adresses, les numéros de téléphone, etc. Dell a confirmé cette violation et a alerté les victimes aux alentours du 10 mai 2024.

 

 

Email de notification de Dell relatif à la violation de données

Email de notification de Dell relatif à la violation de données

 

La première impression qui en est ressortie est que nous allions assister à une vague massive d'hameçonnage, d'hameçonnage par SMS et d'hameçonnage par téléphone utilisant ces données comme appât. C’est sans aucun doute en cours (oh joie !), bien que l'auteur était plus préoccupé par la façon dont ces données réelles ont été exfiltrées. 

Les informations relatives à la violation ne sont pas des plus rassurantes. La personne qui a récupéré les données a partagé plusieurs captures d'écran des emails qu'elle a envoyés à Dell au sujet de la vulnérabilité et qui sont restés sans réponse, ce qui a été confirmé par Dell. La récupération elle-même a été effectuée par le biais d'une attaque par force brute sur un portail partenaire en ligne. Le pirate a enregistré plusieurs comptes sur le portail en tant que partenaire, et ces comptes ont tous été approuvés dans les 48 heures. Une fois ces comptes approuvés, il a généré des numéros de série aléatoires, plus précisément des nombres et des consonnes à sept chiffres. La création de ces numéros a donc suivi un modèle précis. Un exemple de ces numéros de série figure sur cette image extraite du site d'assistance de Dell :

 

Informations relatives au numéro de série Dell

Informations relatives au numéro de série Dell

 

Voici une capture d'écran d'un échantillon des données piratées. Vous pouvez voir le numéro de série dans la colonne la plus à gauche des données affichées ici :

 

Capture d’écran des données piratées, via Daily Dark Web

Capture d’écran des données piratées, via Daily Dark Web

 

Le numéro de série Dell est une étiquette de service utilisée pour aider les clients à suivre les informations relatives au produit, telles que les spécifications techniques, la documentation et la garantie. Le système d'assistance Dell identifie les pilotes, les accessoires et les composants internes compatibles avec votre produit à l'aide de cet identifiant d'étiquette de service.

Le portail des partenaires permettait à tous les partenaires, quel que soit leur niveau, d'accéder à ces informations sans qu'aucun contrôle d'autorisation ne soit effectué pour savoir si le partenaire était autorisé à accéder aux informations du client en question. Le pirate a envoyé environ 5 000 requêtes par minute à cette page pendant la durée de l'attaque. Cela représente environ trois semaines d'une attaque par force brute qui a envoyé plus de 50 millions de requêtes et a enregistré environ 49 millions de dossiers clients. Le pirate a ensuite envoyé plusieurs emails à Dell pour divulguer la vulnérabilité. Un porte-parole de Dell a confirmé avoir reçu les messages.  

C'est là que ça devient trouble. TechCrunch rapporte que Dell a envoyé la notification de violation à certains clients dont les coordonnées ne font pas partie de la base de données de la violation. Dell affirme toutefois avoir été au courant de l'incident et avoir « mis en œuvre nos procédures d'intervention et pris des mesures de confinement ». Tout cela est assez confus, mais une chose est sûre : comme on le constate souvent, la sécurité passe après coup. 

 

Un mème sur la sécurité en mode SaaS via OWASP

Un mème sur la sécurité en mode SaaS via OWASP

 

À notre avis, la violation a été causée par au moins quatre problèmes, un relatif aux processus et trois d'ordre technique. 

Le problème relatif aux processus consiste en la création du compte partenaire créé en 24-48 heures sans aucune vérification. Toutefois, cela ne pose pas de problème si les trois problèmes d'ordre technique suivants sont résolus : 

Le premier problème technique tient au fait que lorsqu'un compte partenaire est créé, aucun droit lié ou aucune forme d'autorisation n'est fourni pour permettre à ce partenaire de rechercher et de travailler avec des étiquettes de service spécifiques. C'est d'autant plus flagrant que les données ne concernent pas uniquement le matériel, elles fournissent, entre autres, l'adresse physique du client. 

Le deuxième problème est constitué par l'absence de protection contre l'automatisation. 5 000 requêtes/minute pendant 3 semaines depuis un compte sans limitation de débit. Même si 5 comptes sont utilisés, cela fait 1 000 demandes/minute/compte. 

Cela nous amène au troisième problème : le manque de visibilité et d’alerte. Les équipes de sécurité informatique n'ont pas été alertées de ce comportement d'attaque évident. Il y a deux raisons possibles à cela :

  • Il n'y avait aucune journalisation ni alerte pour les API présentes sur le portail.

  • Ce type d'accès aux données est courant et n'a pas franchi les seuils d'alerte. 

À première vue, cette interface web dispose d'une API. Comme l'indiquait une note de recherche de Forrester il y a quelques années, « lesAPI sont désormais la vitrine, mais la sécurité n'a pas suivi. » Tout d'abord, aucune autorisation n'a été activée pour les terminaux, ce qui a permis à tout le monde de consulter les données et informations personnelles de chaque client. Ensuite, aucune limitation de débit n'a été mise en place pour protéger le serveur contre les surcharges ou l'exfiltration de données. Il y a de fortes chances que les protecteurs de l'application ne savaient pas qu'elle contenait une API à protéger (Shadow API). Cela constituerait à la fois une défaillance du processus et une défaillance technique de sécurité. 

Il n'y avait aucune protection, en termes de processus ou techniques, contre les nouveaux comptes qui exécutent un si grand nombre de demandes. Il n'y a pas eu d'alerte (bien que Dell affirme le contraire), ce qui a permis au pirate de persévérer pendant TROIS SEMAINES AVEC 5 000 REQUÊTES PAR MINUTE!@!@!@?!@!?!??! 

(Pardonnez mon indignation, la journée a été longue et nous commençons à peine à comprendre l'importance de cette violation, qui fait suite aux failles de 23andMe et de Roku.)

Barracuda peut vous aider.

L'article d'aujourd'hui est sponsorisé par.... Barracuda Application Protection. Barracuda Application Protection est une plateforme complète de protection des applications Web et protection des API qui est facile à utiliser et à gérer. Dans ce cas, elle offre les protections pertinentes suivantes :

  • API Discovery, basé sur l'apprentissage automatique, utilise les données de trafic en temps réel pour identifier les points de terminaison de l'API (Shadow ou autre), puis active automatiquement la protection des points de terminaison d'API découverts.

  • Limitation avancée du débit et Tarpits qui peuvent fonctionner à la fois sur un paramètre par IP et par appareil. Le paramètre par appareil est très utile lorsque vos clients se trouvent derrière un NAT et utilisent plusieurs appareils.

  • Application des autorisations jusqu’au niveau des paramètres, avec des intégrations avec les certificats JWT et clients. Cela inclut la possibilité de faire appliquer le VBAAC et l'ABAC.

  • Protection contre le piratage de comptes basée sur l'apprentissage automatique avec plusieurs niveaux de protection, notamment une protection contre le bourrage d'informations d'identification (pour les comptes piratés connus) et la protection des comptes privilégiés (pour les comptes récemment piratés).

  • Protection avancée contre les bots, basée sur l'apprentissage automatique, qui identifie et bloque les bots les plus avancés, y compris les « scrapers ».

  • Journalisation détaillée et alertes, y compris des intégrations avec des solutions SIEM/SOAR/XDR comme Azure Sentinel, Splunk, SumoLogic, Barracuda XDR, et bien d'autres.

Barracuda propose une protection complète des applications et la plateforme de cybersécurité la plus complète du secteur, qui défend tous les vecteurs d'attaque grâce à une veille sur les menaces et à une réponse aux incidents en temps réel. Consultez notre site Web pour découvrir comment nous protégeons les e-mails, les réseaux, les applications et les données.

 

 

Tushar Richabadas

Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.

Connectez-vous avec lui sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.