[ad_1]

Une base de données soi-disant à partir d’un échantillon d’informations volées lors du piratage très médiatisé du Bureau de la gestion du personnel (OPM) a fait le tour de la cybercriminalité clandestine, certains vauriens proposant même de le vendre dans le cadre d’un ensemble plus vaste. Mais un examen des informations mises à disposition sous forme de teaser indique que la base de données est plutôt une liste d’utilisateurs volés à une autre agence gouvernementale – Unicor.gov, aussi connu sous le nom Industries pénitentiaires fédérales.

Source : Unicor.gov

Source : Unicor.gov

Plus tôt cette semaine, des mécréants qui fréquentent le Forum sur la cybercriminalité de l’enfer (un site « Deep Web » accessible uniquement via le réseau Tor) a commencé à faire circuler un fichier texte contenant plus de 23 000 enregistrements qui semblaient être une base de données d’utilisateurs remplie exclusivement de comptes d’utilisateurs avec des adresses e-mail point-gov. Je pensais qu’il était peu probable que le fichier ait quoi que ce soit à voir avec le piratage de l’OPM, qui a été largement attribué aux pirates chinois qui sont généralement intéressés par l’espionnage – ne vendant pas les données qu’ils volent sur les marchés en plein air.

Comme indiqué dans mon article d’octobre 2014, Comment identifier les fuites de données des cascades publicitaires, il existe plusieurs techniques simples qui peuvent souvent être utilisées pour déterminer si un ensemble de données donné est ce qu’il prétend être. Une méthode consiste à échantillonner les adresses e-mail de la base de données divulguée/piratée, puis à les utiliser pour tenter de créer de nouveaux comptes sur le site en question. Dans la plupart des cas, les sites et services en ligne n’autoriseront qu’un seul compte par adresse e-mail, donc si un grand échantillon aléatoire d’adresses e-mail de la base de données revient toutes comme déjà enregistrées sur le site que vous soupçonnez être l’entité piratée, alors c’est un coffre-fort suppose que les données proviennent de cette entité.

Comment connaître l’identité de l’organisation à qui la base de données a été volée ? Dans la plupart des cas, les fichiers de base de données répertorient les utilisateurs dans l’ordre dans lequel ils se sont inscrits sur le site. Par conséquent, les adresses e-mail et/ou les noms d’utilisateur de la première demi-douzaine d’utilisateurs répertoriés dans la base de données proviennent le plus souvent des administrateurs de la base de données et/ou des concepteurs de sites. Lorsque toutes ces adresses initiales ont le même domaine de premier niveau – dans ce cas « unicor.gov » – il y a fort à parier que c’est votre organisation victime.

Image : Unicor.gov

Image : Unicor.gov

Selon Wikipédia, UNICOR est une société d’État américaine à 100 % créée en 1934 qui utilise la main-d’œuvre pénitentiaire du Federal Bureau of Prisons pour produire des biens et des services. Il est apparemment limité à la vente de ses produits et services aux agences du gouvernement fédéral, bien que récemment des entreprises privées aient eu un certain accès à la main-d’œuvre d’UNICOR. Par exemple, les entreprises peuvent sous-traiter les centres d’appels à UNICOR. Exemple concret : si vous appelez le numéro principal d’UNICOR en dehors des heures de bureau, le message vocal indique que pendant les heures ouvrables, votre appel peut être traité par un détenu !

Mardi, j’ai contacté UNICOR pour leur faire savoir qu’il semblait que leur base de données d’utilisateurs – y compris des mots de passe hachés et d’autres informations – était échangée sur des forums clandestins sur la cybercriminalité. Mercredi, j’ai eu des nouvelles de Marianne Canwell, le responsable de l’information publique pour UNICOR. Cantwell a déclaré qu’un examen des informations suggère qu’elles sont liées à un incident survenu en septembre 2013, lorsque Federal Prison Industries a découvert un accès non autorisé à son site Web public.

« Depuis, le logiciel du site Web a été remplacé pour améliorer la sécurité. Des évaluations par les autorités chargées de l’application de la loi ont été menées pour déterminer l’étendue de l’incident, au moment où il a été découvert », a déclaré Cantwell, qui a confirmé que l’incident n’avait pas été divulgué publiquement auparavant. « Un nombre limité d’individus ont été jugés potentiellement impactés et des notifications ont été faites par mesure de précaution. Federal Prison Industries est soucieux d’assurer la sécurité de ses systèmes et continuera de surveiller ce problème.

Le « logiciel de site Web » en question était Fusion froideune plate-forme d’application Web détenue par Adobe Systems Inc. À peu près à la même époque, des pirates informatiques couraient partout pour s’introduire dans un certain nombre de sites Web et de bases de données gouvernementaux et d’entreprises utilisant les vulnérabilités de ColdFusion. En octobre 2013, j’ai écrit sur les criminels qui avaient utilisé les exploits ColdFusion pour s’introduire et voler la base de données du Centre national de lutte contre la criminalité en col blanc (NW3C), une organisation à but non lucratif financée par le Congrès qui fournit des formations, un soutien aux enquêtes et des recherches aux agences et entités impliquées dans la prévention, les enquêtes et les poursuites en matière de cybercriminalité.

Il n’y a aucune information permettant de lier le piratage d’UNICOR aux escrocs à l’origine du compromis NW3C, mais il est intéressant de noter que les responsables de l’attaque NW3C avaient également le contrôle du service d’usurpation d’identité aujourd’hui disparu. sndob[dot]Mme. Ce service, qui a été annoncé sur des forums de cybercriminalité, était alimenté en partie par une petite mais puissante collection d’ordinateurs piratés exclusivement chez les meilleurs courtiers en données, notamment LexisNexis, Dun & Bradstreet et HireRight/Kroll.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *