Finastra a confirmé avoir averti ses clients d’un incident de cybersécurité après qu’un acteur de la menace a commencé à vendre des données prétendument volées sur un forum de piratage.
Finastra est une société de logiciels financiers au service de plus de 8 000 institutions dans 130 pays, dont 45 des 50 plus grandes banques et coopératives de crédit au monde. L’entreprise emploie 12 000 personnes et a déclaré l’an dernier un chiffre d’affaires de 1,7 milliard de dollars.
L’incident de sécurité s’est produit le 7 novembre 2024, lorsqu’un attaquant a utilisé des informations d’identification compromises pour accéder à l’un des systèmes SFTP (Secure File Transfer Platform) de Finastra.
L’entreprise affirme que son enquête jusqu’à présent, qui est assistée par des experts externes en cybersécurité, ne montre aucune preuve que la violation s’est étendue au-delà de sa plate-forme SFTP.
Les services logiciels de la société comprennent des solutions de prêt, le traitement des paiements, des plateformes de vente au détail et bancaires compatibles avec le cloud et des outils de gestion des risques de négociation.
Brian Krebs a d’abord signalé que Finastra avait subi une faille de sécurité hier après avoir vu une notification de violation de données envoyée à une personne concernée.
L’attaque serait liée à un récent message sur un forum de piratage, où un acteur de la menace nommé « abyss0 » prétendait vendre 400 Go de données volées à Finastra.
Interrogé sur le message du forum, un porte-parole de Finastra n’a ni confirmé ni démenti si les données leur appartenaient, se contentant de dire à Breachtrace qu’ils avaient subi une faille de sécurité de portée limitée et qu’ils évaluaient actuellement son impact.
« Le 7 novembre 2024, le Centre des opérations de sécurité (SOC) de Finastra a détecté une activité suspecte liée à une plate-forme de transfert de fichiers sécurisé (SFTP) hébergée en interne que nous utilisons pour envoyer des fichiers à certains clients », a déclaré Finastra à Breachtrace .
« Nous avons immédiatement lancé une enquête aux côtés d’une société de cybersécurité tierce et, par mesure de précaution, isolé et confiné la plateforme. Cet incident était limité à la seule plate-forme et il n’y avait aucun mouvement latéral au-delà. »
La société a également précisé que la plate-forme SFTP compromise n’était pas utilisée par tous ses clients, ni la plate-forme par défaut utilisée par Finastra pour l’échange de fichiers.
Cependant, l’impact exact et la portée de sa violation font toujours l’objet d’une enquête, et déterminer qui est touché peut prendre un certain temps avant qu’elle ne soit terminée.
Les personnes jugées touchées seront contactées directement, de sorte que les divulgations publiques de Finastra ne sont pas attendues.
Il convient de noter que l’auteur de la menace qui a publié les échantillons de données plus tôt ce mois-ci a depuis supprimé le message, donc on ne sait pas si les données ont été vendues à un acheteur ou si « abyss0 » s’est inquiété de la publicité soudaine.
En mars 2020, Finastra a subi un autre incident majeur de cybersécurité lorsqu’elle a été touchée par des acteurs du ransomware.
À l’époque, la société de technologie financière avait été contrainte de mettre certaines parties de son infrastructure informatique hors ligne en réponse à la menace, ce qui avait entraîné des interruptions de service.
Bien que les moyens d’accès initiaux soient inconnus, les rapports des plateformes de surveillance des menaces ont mis en évidence la stratégie terne de gestion des vulnérabilités de l’entreprise, notant qu’elle utilisait d’anciennes versions de Pulse Secure VPN et de serveurs Citrix.