L’acteur de la menace à l’origine de la récente violation de données Dell a révélé qu’il avait récupéré les informations de 49 millions d’enregistrements de clients à l’aide d’une API de portail partenaire à laquelle il avait accédé en tant que fausse entreprise.
Hier, Breachtrace a rapporté que Dell avait commencé à envoyer des notifications avertissant les clients que leurs données personnelles avaient été volées lors d’une violation de données.
Cette violation de données contenait des données de commande client, y compris des informations sur la garantie, des étiquettes de service, des noms de clients, des emplacements d’installation, des numéros de client et des numéros de commande.
Un acteur de la menace connu sous le nom de Menelik a mis les données en vente sur le forum de piratage piraté le 28 avril, les modérateurs retirant bientôt le message.
Menelik a déclaré à Breachtrace ce matin qu’ils avaient pu voler les données après avoir découvert un portail pour les partenaires, les revendeurs et les détaillants qui pouvait être utilisé pour rechercher des informations sur les commandes.
Menelik dit qu’il pouvait accéder au portail en enregistrant plusieurs comptes sous de faux noms d’entreprise et qu’il y avait accès dans les deux jours sans vérification.
« Il est très facile de s’inscrire en tant que partenaire. Il vous suffit de remplir un formulaire de candidature », a déclaré Menelik à Breachtrace .
« Vous entrez les détails de l’entreprise, la raison pour laquelle vous souhaitez devenir partenaire, puis ils vous approuvent simplement et vous donnent accès à ce portail « autorisé ». Je viens de créer mes propres comptes de cette façon. L’ensemble du processus prend 24 à 48 heures. »
Une fois qu’ils ont eu accès au portail, Menelik a déclaré à Breachtrace qu’ils avaient créé un programme qui générait des étiquettes de service à 7 chiffres et les soumettait à la page du portail à partir de mars pour récupérer les informations renvoyées.
Comme le portail n’aurait inclus aucune limitation de débit, l’acteur de la menace affirme qu’il pourrait récolter les informations de 49 millions d’enregistrements de clients en générant 5 000 demandes par minute pendant trois semaines, sans que Dell bloque les tentatives.
Menelik dit que les dossiers clients volés incluent la panne matérielle suivante:
- Moniteurs: 22 406 133
- Ordinateurs portables Alienware: 447 315
- Chromebooks: 198 713
- Ordinateurs portables Inspiron: 11 257 567
- Ordinateurs de bureau Inspiron: 1 731 767
- Ordinateurs portables Latitude: 4 130 510
- Nombre d’options: 5 177 626
- Puissance: 783 575
- Ordinateurs de bureau de précision: 798 018
- Ordinateurs portables de précision: 486 244
- Ordinateurs portables Vostro: 148 087
- Ordinateurs de bureau Vostro: 37 427
- Ordinateurs portables Xps: 1 045 302
- Ordinateurs de bureau XPS/Alienware: 399 695
Les auteurs de la menace ont déclaré avoir envoyé un e-mail à Dell les 12 et 14 avril pour signaler le bogue à leur équipe de sécurité, partageant l’e-mail avec Breachtrace . Cependant, l’acteur de la menace a certes collecté 49 millions d’enregistrements avant de contacter l’entreprise.
L’auteur de la menace affirme que Dell n’a jamais répondu aux courriels et n’a corrigé le bogue qu’environ deux semaines plus tard, au moment où les données volées ont été mises en vente pour la première fois sur le forum de piratage des forums de violation.
Dell a confirmé à Breachtrace avoir reçu les courriels de l’auteur de la menace, mais a refusé de répondre à d’autres questions, car ils disent que l’incident est devenu une enquête active des forces de l’ordre.
Cependant, l’entreprise affirme qu’elle avait déjà détecté l’activité avant de recevoir l’e-mail de l’auteur de la menace.
« Gardons à l’esprit que cet acteur menaçant est un criminel et que nous avons informé les forces de l’ordre », a déclaré Dell à Breachtrace .
« Nous ne divulguons aucune information qui pourrait compromettre l’intégrité de notre enquête en cours ou de toute enquête menée par les forces de l’ordre. »
« Avant de recevoir l’e-mail de l’auteur de la menace, Dell était déjà au courant de l’incident et enquêtait sur celui-ci, mettant en œuvre nos procédures de réponse et prenant des mesures de confinement. Nous avons également engagé une société tierce de criminalistique pour enquêter. »
TechCrunch a d’abord signalé l’utilisation de cette API par Menelik pour récupérer les données des clients Dell.
Les API de plus en plus utilisées dans les violations de données
Les API faciles d’accès sont devenues une énorme faiblesse pour les entreprises ces dernières années, les acteurs de la menace en abusant pour récupérer des données sensibles et les vendre à d’autres acteurs de la menace.
En 2021, des acteurs de la menace ont abusé d’un bogue de l’API Facebook pour lier des numéros de téléphone à plus de 500 millions de comptes. Ces données ont été divulguées presque gratuitement sur un forum de piratage, ne nécessitant qu’un compte et payant 2 $pour les télécharger.
Plus tard cette année-là, en décembre, des acteurs de la menace ont exploité un bogue de l’API Twitter pour lier des millions de numéros de téléphone et d’adresses e-mail à des comptes Twitter, qui ont ensuite été vendus sur des forums de piratage.
Plus récemment, une faille de l’API Trello a été exploitée l’année dernière pour lier une adresse e-mail à 15 millions de comptes, qui ont, une fois de plus, été mis en vente sur un forum de piratage. Les données ont ensuite été partagées avec Ai-je été invité à émettre des notifications aux personnes exposées à la violation.
Bien que tous ces incidents impliquaient un grattage de données, ils ont été autorisés en raison de la facilité d’accès aux API et de l’absence de limitation de débit appropriée pour le nombre de requêtes pouvant être effectuées par seconde à partir du même hôte.