24/01/2023 undernews.fr  7 min #222924

Nouvelle fuite de données T-Mobile

L'opérateur de téléphonie mobile américain T-Mobile a annoncé le jeudi 19 janvier 2023 avoir été victime d'une cyberattaque ayant compromis les données de 37 millions de clients.

Dirk Schrader, VP of security research chez Netwrix, a fait le commentaire suivant :

« Dans son dossier auprès de la  SEC (Securities and Exchange Commission), T-Mobile a déclaré que l'utilisation non autorisée d'une seule API a été détectée le 5 janvier et stoppée dans les vingt-quatre heures suivantes. Cet accès aurait été initié le 25 novembre 2022.

Les API sont comme des autoroutes vers les données d'une entreprise : hautement automatisées et permettant l'accès à de grandes quantités d'informations. Comme la numérisation repose fortement sur ce type d'interaction automatisée à l'aide d'API, et que le délai de mise sur le marché l'emporte souvent sur la sécurité, le risque lié aux API non surveillées est susceptible d'augmenter encore davantage à l'avenir.

Désormais, les entreprises de taille moyenne disposent bien souvent de dizaines, voire de centaines, d'API dans leur infrastructure IT. Grâce à ces technologies, les organisations n'ont plus besoin d'utiliser l'authentification mutuelle. De plus, s'il n'y a pas de contrôle en place pour surveiller les données laissées par le domaine via l'API, il n'y en a pas non plus pour les informations des clients.

Les données volées de T-Mobile permettront aux cybercriminels usant de ransomwares d'améliorer la crédibilité des emails de phishing envoyés à leurs victimes. Un tel ensemble de données serait également intéressant pour les « Initial Access Brokers », des hackers qui se concentrent sur la collecte d'identifiants d'ordinateurs personnels et de réseaux d'entreprise. En termes simples, ces acteurs fusionnent les données de plusieurs fuites (comme celle ayant visée récemment Twitter) pour proposer une histoire encore plus convaincante pour la prochaine campagne de phishing.

Ces emails de phishing s'amélioreront cependant avec l'ensemble des détails personnels à disposition des cybercriminels. Des outils comme ChatGPT augmenteront également la crédibilité et l'efficacité de toute attaque déployée par ces groupes. Les formations de sensibilisation au phishing enseignent aux utilisateurs à rechercher dans les messages les fautes d'orthographe grammaticale ou les incohérences de l'histoire ; mais plus les cyber-escrocs disposent de données détaillées, plus leurs outils produisent des campagnes de phishing convaincantes, et donc plus leur taux de réussite est élevé.

Les entreprises doivent par conséquent intégrer un contrôle strict sur qui utilise les API, à quel moment et à quel rythme. Une stratégie Zero Trust est ainsi la meilleure approche pour réduire la surface d'attaque dans cette situation, car elle restreint l'accès aux ressources à la fois à l'intérieur et à l'extérieur du réseau, jusqu'à ce que la validité de la demande soit confirmée. Les clients de T-Mobile dont les données ont été compromises doivent être très prudents quant aux emails reçus : non seulement s'ils prétendent être de T-Mobile, mais aussi tout autre email inattendu ; tous les messages et les adresses emails de l'expéditeur devant être examinés très attentivement afin de ne pas tomber dans un piège. »

David Emm, chercheur principal en sécurité chez Kaspersky revient sur cette actualité et apporte plus de détails sur ce que cela signifie pour l'entreprise, et pour ses clients :

« T-mobile a récemment indiqué que les cybercriminels avaient dérobé des informations clients basiques incluant des noms, des numéros de téléphone et des dates de naissance. Les attaquants pourraient rendre les bases de données accessibles publiquement en les mettant en vente sur le dark net. C'est une action typique des acteurs ransomwares qui publient sur les incidents de sécurité réussis sur leurs blogs publics, ainsi que sur les données volées elles-mêmes. De telles fuites deviennent une menace de plus en plus courante pour les consommateurs et les entreprises. L'un des acteurs ransomwares les plus connus est Lockbit ; et selon leur blog, qui est observé en permanence par Kaspersky Security Services, le nombre moyen de victimes référencées est de 80 à 90 par mois mais parfois, cela peut monter jusqu'à 160.

Quand la donnée a fuité en ligne, les autres cybercriminels sont prêts à payer pour y accéder, en espérant en tirer profit. Comment cela nous affecte ? Nous nous retrouvons dans une situation de vulnérabilité de plus en plus fréquente, où nous sommes exposés à des messages de phishing dans lequel les attaquants se font passer pour un représentant de T-mobile, ou pour l'un de ses concurrents en proposant des offres trop belles pour être vraies. Puisque les attaquants ont pu obtenir des informations sensibles à propos des victimes potentielles par le biais de la fuite de données, l'efficacité des arnaques augmente significativement. Pour vous protéger, observez attentivement la lettre suspicieuse - quelle est l'orthographe de l'expéditeur et est-ce qu'elle diffère de l'officiel ? Quels types de liens sont insérés dans le corps du message ? Quelle ponctuation ? On ne devrait pas trouver d'étranges adresses, d'erreurs grammaticales ou d'images de basse résolution.

Puisque les données piratées de T-mobile contiennent des numéros de téléphone, faites attention quand vous répondez au téléphone et de faites pas confiance à ceux qui vous demandent de prendre des décisions financières urgentes. Même si les coups de téléphone frauduleux ne surprennent plus personnes de nos jours, les attaquants peuvent utiliser les informations obtenues lors des fuites de données pour gagner la confiance de la victime potentielle.

En ce qui concerne la cybersécurité de l'entreprise, nous recommandons fortement d'implémenter des mesures basiques pour éviter de se faire piéger par les pirates à la recherche de vos données. Dans le cas de T-mobile, il n'y a pas d'information sur la manière exacte dont les attaquants ont compromis l'API, mais cela pourrait être via une vulnérabilité. Pour tous les types de logiciels, il est crucial que les entreprises utilisent un code à jour et vérifient la sécurité de leurs systèmes, par exemple en organisant des tests de pénétration - une évaluation de sécurité qui simule divers types d'intrusions, avec pour objectif d'élever le niveau des privilèges actuels et d'accéder à l'environnement. Pour être surs, quand une entreprise est confrontée à un incident, des services de réponse à incident peuvent aider à minimiser les conséquences, en particulier - en identifiant des nœuds compromis et en protégeant l'infrastructure des attaques similaires qui pourraient survenir dans le futur. »

Ci-dessous les commentaires de Justin Fier, Vice Président Senior, opérations Red Team de Darktrace :

» La sécurité des API et les fuites d'informations d'identification sont actuellement un problème majeur et plusieurs organisations ont été victimes d'attaques similaires à celles décrites par T-Mobile.

Aucune API n'est parfaite et les incidents liés à la gestion des informations d'identification des API sont extrêmement fréquents de nos jours. La semaine dernière, une faille de sécurité particulièrement grave a été découverte dans la bibliothèque open source jsonwebtoken (JWT) qui, si elle est exploitée correctement, pourrait offrir aux pirates un accès très lucratif pour organiser des attaques sur l'ensemble de la chaîne d'approvisionnement. Aucune information sur ce à quoi servait l'API piraté dans le dossier de T-Mobile n'a filtré pour le moment.

Il est encourageant de voir que T-Mobile fait preuve de transparence quant aux coûts potentiels occasionnés par l'incident, et il est assez rare qu'une organisation procède de la sorte. Ces coûts pourraient correspondre au coût de « nettoyage », notamment aux actions en justice avec les clients concernés, ou aux amendes infligées par la SEC pour cette intrusion.

Les données obtenues dans le cadre de cette attaque sont très sensibles et, combinées, elles pourraient servir de base à des opérations d'usurpation d'identité à grande échelle ou ciblées. Pour un service de renseignement, ces données peuvent être exploitées de plusieurs façons, ce qui est vital dans la perspective de la sécurité des électeurs et des tensions géopolitiques actuelles. Mais une question demeure : en tant que consommateurs, sommes-nous insensibles à ces attaques et à la complexité sans cesse croissante des logiciels qui les provoquent ? Sont-elles désormais une réalité acceptée par les entreprises ?

Darktrace recommande aux consommateurs touchés par cette faille trois mesures de base : changez vos mots de passe, utilisez des dispositifs d'authentification multifacteurs (MFA) lorsque c'est possible et faites appel à des services de contrôle de crédit qui sont souvent proposés par l'organisation ou déjà compris dans les services de votre établissement financier. »

 undernews.fr

 Commenter