Le nombre d’enregistrements de données exposés en 2020 a atteint des chiffres stupéfiants, augmentant de 141 % pour atteindre 37 milliards. Avec l’impact du travail à distance et la numérisation croissante des processus commerciaux, 2021 semble devoir battre même ce record de violation. Bon nombre de ces attaques cybercriminelles proviennent d’expositions de données très importantes.
Voici un aperçu de certaines des violations de données les plus inquiétantes cette année.
Menaces et événements liés aux fuites de données en 2021
La liste ci-dessous présente dix des violations de données les plus importantes ou inquiétantes de 2021. Elles sont classées par ordre de date et montrent l’ampleur de la violation et la manière dont elle est susceptible de s’être produite.
U.S. Cellular (janvier)
L’ingénierie sociale est à l’origine de la cyberattaque contre U.S. Cellular au mois de janvier 2021. Les pirates ont incité les employés à télécharger un malware conçu pour donner à un attaquant un accès à distance à un ordinateur.
L’attaquant a ensuite utilisé cet accès pour accéder à la plateforme de gestion de la relation client (CRM) de l’entreprise une fois que l’employé s’est connecté. À partir de là, il a volé les données personnelles des clients, notamment leur nom, leur adresse, leur code PIN, leur numéro de téléphone portable et leurs relevés de facturation.
Mimecast (janvier)
Un certificat numérique de Mimecast, utilisé pour authentifier les produits Mimecast auprès de Microsoft 365 Exchange Web Services, a été compromis par des pirates. L’action de Mimecast a chuté de 5 % après cette attaque, qui a affecté environ 10 % de ses clients.
Lors de l’analyse de l’attaque, il a été découvert que la violation de Mimecast a été réalisée par le groupe de pirates qui a mené l’attaque SolarWinds de décembre 2020.
Installation de traitement des eaux d’Oldsmar en Floride (février)
Un pirate a utilisé un logiciel de bureau à distance (TeamViewer) pour pirater le système de dosage contrôlé par SCADA de l’entreprise et augmenter la quantité d’hydroxyde de sodium ajoutée à l’eau de 100 parties par million à 11 100 parties par million. Le changement a été détecté au moment où il s’est produit, alertant l’opérateur de l’usine du problème.
On pense que le pirate a utilisé des informations d’identification volées disponibles sur le dark web pour obtenir l’accès. On pense que le même mot de passe était utilisé pour tous les utilisateurs afin de permettre l’accès à distance.
Les analystes de la sécurité soulignent que l’attaque s’est déroulée en plusieurs parties et qu’elle comprenait une reconnaissance pour identifier les domaines de messagerie, suivie d’un bourrage d’identité à l’aide des mots de passe volés.
Acer (mars)
Une vulnérabilité de Microsoft Exchange a entraîné une importante infection par un ransomware chez le fabricant de produits électroniques Acer. La rançon qui en a résulté – plus de 42 millions d’euros – était la plus importante de l’histoire.
Le groupe de pirates ReEvil serait à l’origine de l’attaque contre Acer. Des données ont été volées et chiffrées, notamment des soldes et des coordonnées bancaires.
Microsoft Exchange (mars)
Le groupe de pirates parrainé par l’État, Hafnium, a exploité quatre vulnérabilités de type « zero-day » dans le serveur de messagerie Microsoft Exchange pour accéder aux comptes de messagerie d’environ 30 000 organisations américaines. Après avoir accédé à ces comptes, les pirates ont pu utiliser le contrôle à distance des ordinateurs pour accéder aux données des clients.
Microsoft a rapidement publié des correctifs pour les vulnérabilités, mais le groupe de pirates a continué à utiliser des scanners pour trouver des serveurs Microsoft Exchange non corrigés à exploiter.
Violation des données de Facebook (avril)
Au moins 530 millions d’utilisateurs de Facebook dans 106 pays ont vu leurs données exposées lors de cette cyberattaque. Les données exposées comprenaient des détails personnels tels que des numéros d’identification Facebook, des noms, des numéros de téléphone, des dates de naissance et des lieux.
Le raclage d’écran, par opposition à une violation de la base de données, a été utilisé pour capturer les détails personnels affichés dans les profils des utilisateurs. Cela a été possible en raison d’une vulnérabilité dans une fonctionnalité de Facebook déployée en 2019, appelée « Contact Importer ».
Les profils qui étaient réglés sur « public » ou « partager avec des amis », ainsi que l’autorisation d’une recherche à l’aide d’un numéro de téléphone, rendaient le système ouvert à l’exploitation.
Colonial Pipeline (mai)
Colonial Pipeline est responsable de 45 % de tout le carburant consommé sur la côte Est des États-Unis. Une attaque de ransomware a entraîné un arrêt des opérations affectant environ 50 millions de clients.
L’attaque a été menée par le groupe de pirates informatiques DarkSide. En plus de chiffrer les données et les systèmes désactivés par le ransomware, les pirates ont volé une grande quantité de données. Ces données ont été utilisées pour faire pression sur l’entreprise afin qu’elle paie la rançon de plus de 3,7 millions d’euros.
Les analystes de sécurité estiment qu’un mot de passe compromis a été le point de départ de la cyberattaque.
Electronic Arts (juin)
Des pirates ont volé 780 gigaoctets de données de code source à Electronic Arts. Bien qu’aucune donnée personnelle n’ait été volée au cours de l’attaque, l’accès au code source utilisé pour fournir des jeux aux consommateurs signifie que des vulnérabilités peuvent être repérées et exploitées, mettant ainsi en danger les données des clients.
Depuis l’intrusion, les pirates ont également mis en ligne des extraits de code source afin d’accroître la pression sur Electronic Arts pour qu’elle paie la rançon.
Les cookies volés, en vente pour environ 8,5 euros, ont été utilisés par les pirates pour obtenir un accès initial à un compte Slack de l’entreprise.
Les pirates ont ensuite utilisé l’ingénierie sociale pour faire croire à un employé du support informatique qu’il avait perdu son téléphone et lui délivrer un jeton temporaire d’authentification multifactorielle pour obtenir un accès privilégié aux données.
Cette attaque montre que l’on s’éloigne des méthodes traditionnelles consistant à demander une rançon à une entreprise, en volant des données, par opposition à l’utilisation du seul chiffrement.
Volkswagen et Audi (juin)
Plus de 3 millions de clients du géant de la construction automobile, Volkswagen et Audi, ont vu leurs données personnelles exposées en juin 2021.
La violation s’est produite via un fournisseur tiers, qui avait collecté et stocké les données pendant plusieurs années à des fins de marketing. Les données étaient stockées de manière non sécurisée.
Les vulnérabilités logicielles ou le vol d’informations d’identification sont à l’origine d’un grand nombre des violations décrites ci-dessus. L’utilisation de tactiques d’ingénierie sociale fait également partie intégrante de la stratégie des pirates.
La prévention des violations de données ne peut se faire par une approche unique. Au contraire, de multiples couches de protection offrent un moyen plus complet de faire face à des pirates inventifs et persistants.
L’année 2021 n’est qu’à mi-chemin. Voyons ce que les prochains mois nous réservent, et souhaitons que la pandémie de violations de données appartienne au passé.
Protégez votre organisation contre les violations de données grâce à la sécurité multicouche de TitanHQ. Contactez notre équipe d’experts en sécurité dès aujourd’hui pour découvrir comment vous pouvez mettre en place une défense multicouche contre les violations de données.