Bien que la plupart des organisations mettent en place la meilleure formation et solution de sécurité pour protéger les informations d’identification des utilisateurs contre le vol, les attaquants ont toujours de nombreux moyens de compromettre un réseau et de voler des données.
On ne sait pas encore comment les attaquants ont pu dérober plus de 3,2 millions d’enregistrements de données des clients de DriveSure, mais il semble que les informations volées provenaient de la base de données MySQL de l’entreprise.
Résultat : les informations d’identification du site ainsi que plusieurs points de données privées ont été exposés publiquement sur Internet.
Qu’est-il arrivé à DriveSure ?
DriveSure est un site de formation utilisé pour aider les concessionnaires automobiles à vendre et à conserver leurs clients. Il compte des millions de clients qui s’inscrivent pour recevoir des formations et des cours.
Pour ce faire, ces derniers doivent fournir leur nom complet, leur adresse, leur numéro de téléphone, leur adresse électronique, le numéro d’immatriculation et le carnet d’entretien de leur véhicule, leurs déclarations de sinistre, entre autres.
Les données publiées comprenaient des comptes de grandes entreprises et des adresses des autorités militaires
Plus tôt dans l’année, des chercheurs ont remarqué que des informations concernant les clients de DriveSure avaient été téléchargées sur plusieurs forums de piratage. La plupart des attaquants ont volé des données pour les revendre ensuite avec profit. Cependant, l’argent qui aurait pu être généré ne semblait pas être leur principal objectif.
Les pirates ont lentement mis à jour l’ensemble de la base de données des données volées, gratuitement et sans demander de l’argent
Le motif de des pirates n’ayant pas encore été connu, les données ont été déjà proposées gratuitement sur de nombreux forums de piratage. Elles étaient ainsi librement accessibles à toute personne qui était en mesure de trouver les fichiers en ligne.
Au fur et à mesure que de plus en plus de personnes téléchargeaient les fichiers, les données devenaient disponibles pour davantage de personnes sur d’autres sites. Tout utilisateur qui s’est inscrit sur le site DriveSure doit donc changer son mot de passe sur le site.
Quelles sont les données clients de DriveSure ayant été exposées publiquement ?
Outre les données privées sensibles disponibles, le cyber-attaquant de DriveSure a également mis à disposition pour téléchargement plus de 93 000 mots de passe hachés par bcrypt.
Dans une application sécurisée, le développeur stocke un mot de passe sous forme de valeur hachée avec un sel pour le rendre plus difficile à craquer.
En cryptographie, un sel est une donnée aléatoire utilisée comme entrée supplémentaire dans une fonction de hachage à sens unique d’un mot de passe ou d’une phrase de passe, tandis que bcrypt est une fonction standard pour le hachage de mots de passe.
Qu’est ce que le hachage ?
Pour faire simple, une fonction de hachage est destinée à prendre le texte d’un mot de passe pour ensuite le « mouliner » afin d’obtenir une signature (également appelée empreinte).
Lorsqu’un utilisateur entre un mot de passe, l’ordinateur ne va pas envoyer celui-ci au serveur ni l’enregistrer, mais plutôt sa signature. Lorsque l’utilisateur se connectera, au lieu de vérifier si le mot de passe est identique, le serveur va donc vérifier que la signature du mot de passe entrée est bien la même que celle du mot de passe enregistré.
DriveSure utilise une méthode cryptographique sécurisée pour stocker les mots de passe
Cependant, même si un mot de passe est sécurisé par cryptographie, d’autres, qui ont été téléchargés, peuvent encore être forcés par force brute pendant une longue période si rien n’est mis en place pour limiter le nombre de tentatives.
Par ailleurs, les mots de passe de mauvaise qualité peuvent être forcés par force brute même s’ils sont stockés sous forme de hachage sécurisé par cryptographie.
Le problème avec la disponibilité de mots de passe hachés est qu’un attaquant peut passer des jours à exécuter des scripts contre chacun d’entre eux. Tout mot de passe faible peut être forcé par brute, et de nombreux utilisateurs configurent le même mot de passe sur plusieurs sites.
Puisque les adresses email sont également disponibles, un attaquant pourra utiliser des scripts pour prendre le contrôle de comptes sur plusieurs sites en utilisant les mêmes mots de passe obtenus sur le site DriveSure. Cela permet à un pirate d’accéder à tout compte utilisant le même mot de passe sur plusieurs sites, y compris celui de DriveSure.
Les données provenaient d’une base de données MySQL piratée, de sorte que toute information collectée à partir de DriveSure serait vulnérable à l’exposition. Pour pallier ce problème, l’entreprise a décidé de chiffrer les données qui devraient être conformes aux normes de conformité, mais la plupart des données étaient encore disponibles en texte brut.
Que pouvez-vous faire si vous avez utilisé DriveSure ?
Comme DriveSure ciblait les entreprises en tant que clients, les chercheurs ont trouvé de nombreux comptes de messagerie professionnelle inclus dans la base de données.
Si votre entreprise a utilisé DriveSure pour former vos employés, toutes les informations relatives aux comptes d’utilisateurs fournies au site sont peut-être incluses dans sa base de données en ligne et sont probablement mise en ligne sur divers forums de piratage.
La meilleure défense contre les attaques cybercriminels consiste à changer immédiatement les mots de passe, même s’ils étaient sécurisés par cryptographie et comportaient plusieurs caractères. Tout employé ayant le même mot de passe sur DriveSure et sur le réseau de votre entreprise fait courir à cette dernière le risque d’une violation de données.
Il n’est pas rare que les attaquants utilisent des données trouvées sur Internet pour lancer des attaques de phishing. Ils peuvent envoyer directement un email malveillant aux utilisateurs qui figurent sur la liste ou utiliser les adresses électroniques pour lancer d’autres attaques sur d’autres employés.
Si un pirate peut accéder au compte de messagerie de l’utilisateur par le biais d’une usurpation d’identité, il peut alors envoyer un email à d’autres employés en incitant ces derniers à divulguer des informations sensibles.
Les filtres de messagerie empêcheront les attaques par usurpation d’identité, de sorte que la base de données divulguée ne pourra pas être utilisée contre votre organisation dans une attaque par phishing. Vous pouvez également former les utilisateurs à la détection des attaques de phishing afin qu’ils n’en soient pas victimes.
Outre l’utilisation de filtres de messagerie, tout utilisateur trouvé dans la base de données doit immédiatement changer son mot de passe. Enfin, il faut apprendre aux utilisateurs à ne pas utiliser le même mot de passe pour plusieurs comptes afin d’éviter tout problème à l’avenir.
Sachez que vous pouvez améliorer la protection des données de vos clients avec la protection multicouche de TitanHQ. Si vous voulez découvrir comment nous pouvons protéger votre organisation contre les violations de données, contactez un membre de notre équipe dès aujourd’hui.