Agence de publicité en ligne Sizmek inc. [NASDAQ: SZMK] dit qu’il enquête sur un incident de sécurité dans lequel un pirate revendait l’accès à un compte d’utilisateur avec la possibilité de modifier les publicités et les analyses pour un certain nombre d’annonceurs de renom.
Dans une récente publication sur un forum de cybercriminalité en langue russe, une personne connue pour avoir vendu l’accès à des comptes en ligne piratés a lancé une vente aux enchères pour « le panneau d’administration d’une grande plateforme publicitaire américaine ».
« Vous pouvez ajouter de nouveaux utilisateurs au système publicitaire, modifier ceux existants et les offres publicitaires », a écrit le vendeur. L’enchère de départ était de 800 $.
Le vendeur a inclus plusieurs captures d’écran du panneau d’utilisateurs de la société de publicité. Quelques minutes sur LinkedIn ont montré que beaucoup de ces personnes sont des employés actuels ou anciens de Sizmek.
Le vendeur a également partagé une capture d’écran du classement du site Alexa du réseau publicitaire :
Une capture d’écran du classement Alexa du « grand réseau publicitaire américain », dont l’accès a été vendu sur un forum de cybercriminalité.
j’ai vérifié Page Alexa de Sizmek et à l’époque, cela reflétait presque les statistiques présentées dans la capture d’écran ci-dessus. Propre de Sizmek passe-partout marketing indique que la société exploite sa plate-forme publicitaire dans plus de 70 pays, connectant plus de 20 000 annonceurs et 3 600 agences à des publics du monde entier. La société est répertoriée par une société d’analyse de marché Datanyze.com en tant que troisième plus grand réseau de serveurs publicitaires au monde.
Après avoir contacté un certain nombre de personnes chez Sizmek, j’ai eu des nouvelles de Georges Pappachenl’avocat général de la société.
Pappachen a déclaré que le compte revendu sur le dark web est un compte d’utilisateur régulier (pas un compte administrateur tout-puissant, malgré l’affirmation du vendeur) pour son Suite publicitaire Sizmek (SAS). Pappachen a décrit la gamme de produits SAS de Sizmek comme « une gamme importante et importante » pour l’entreprise et une plate-forme relativement nouvelle qui compte des centaines d’utilisateurs.
Il a reconnu que le compte volé avait la capacité d’ajouter ou de modifier les créations publicitaires diffusées dans les campagnes publicitaires des clients. Et Sizmek est utilisé dans les campagnes publicitaires de certaines des plus grandes marques. Certaines des entreprises présentées dans la capture d’écran du panneau partagé par le vendeur du dark web incluent une société de relations publiques Fleishman-Hillardgéants des médias Renard Radiodiffusion, Fou de Bassanet Hearst numériqueainsi que Kohleret Pandore.
Une capture d’écran partagée par le vendeur du dark web. Des parties de ce panneau – l’accès à un compte d’utilisateur Sizmek – ont probablement été traduites par le navigateur Web Chrome, qui dispose d’une fonction de traduction de page intégrée. Comme on le voit ici, cette fonction a tendance à traduire les éléments dans le cadre du panneau, mais elle laisse intactes les données à l’intérieur de ces cadres.
Les escrocs qui exploitaient cet accès pourraient détourner des campagnes publicitaires existantes diffusées sur certaines des meilleures propriétés en ligne au monde, en insérant des scripts malveillants dans le code HTML des publicités diffusées sur des sites populaires. Ou ils pourraient détourner les commissions de parrainage destinées à d’autres et siphonner les bénéfices publicitaires du système.
« Ou quelqu’un qui cherche à saboter nos systèmes de manière plus importante ou à permettre à un code malveillant d’entrer dans nos systèmes », a proposé Pappachen.
Pappachen a déclaré que Sizmek avait forcé la réinitialisation du mot de passe de tous les employés internes (« quelques centaines ») et que l’entreprise nettoyait sa base de données d’utilisateurs SAS pour les employés, partenaires et fournisseurs décédés dont les comptes auraient pu être piratés.
« Nous effectuons actuellement un certain niveau de dépistage pour voir s’il y a eu une quelconque intrusion que nous pouvons détecter », a déclaré Pappachen. « Il parait que [the screenshots were accounts from] anciens employés. Je pense qu’il y avait même quelques fournisseurs qui avaient accès au système auparavant.
L’incident de Sizmek est porteur de quelques leçons. Pour commencer, il semble qu’un très grand nombre de personnes chez Sizmek aient eu accès à des contrôles et à des données sensibles bien plus longtemps qu’elles n’auraient dû. L’inventaire et la gestion des utilisateurs est un processus de sécurité continu parfois pénible mais très nécessaire dans toute organisation mature.
Les meilleures pratiques dans cet espace appellent à surveiller activement tous les comptes – utilisateurs et administrateurs – pour détecter les signes d’utilisation abusive ou d’accès non autorisé. Et lorsque des employés ou des fournisseurs rompent leurs liens commerciaux, résiliez immédiatement leur accès.
Pappachen a demandé à BreachTrace ce qui aurait pu empêcher cela. J’ai suggéré qu’une certaine forme d’option d’authentification multifacteur basée sur le mobile empêcherait les informations d’identification volées de se transformer en accès instantané. Il a déclaré que la société utilisait l’authentification basée sur les applications/mobiles pour plusieurs de ses nouveaux produits et certains programmes internes, mais a admis que « les anciens n’avaient probablement pas cette fonctionnalité ».
PULVÉRISATION DE MOT DE PASSE
On ne sait pas comment ce mécréant a eu accès aux systèmes de Sizmek. Mais il est clair que les attaquants ont rapidement évolué ces derniers temps pour cibler les employés à des postes clés dans les entreprises qu’ils aimeraient infiltrer, et ils automatisent la devinette des mots de passe pour les comptes des employés. Une version populaire de cette attaque implique ce qu’on appelle « pulvérisation de mot de passe”, qui tente d’accéder à un grand nombre de comptes (noms d’utilisateur/adresses e-mail) avec quelques mots de passe couramment utilisés.
Il existe des technologies comme CAPTCHA – obligeant l’utilisateur à résoudre un défi d’image ou à retaper des lettres sinueuses – qui tentent d’éliminer les programmes de robots automatisés des humains. Là encore, les attaques par pulvérisation de mot de passe sont souvent menées « bas et lentement » pour aider à échapper à ces types de défis de bot.
La pulvérisation de mot de passe a été suspectée dans un compromis signalé la semaine dernière à Citrixlequel dit avoir entendu parler du FBI le 6 mars, les attaquants avaient réussi à compromettre plusieurs comptes d’employés Citrix. Une société de sécurité méconnue Sécurité revendiqué il avait des preuves que les pirates iraniens étaient responsables, étaient dans le réseau de Citrix depuis des années et avaient déchargé des téraoctets de données.
Resecurity a attiré les critiques de nombreux membres de la communauté de la sécurité pour ne pas avoir partagé suffisamment de preuves des attaques. Mais plus tôt cette semaine, la société a mis à jour son article de blog pour inclure plusieurs adresses Internet et procurations, il dit que les attaquants ont utilisé dans la campagne Citrix.
Resecurity a également présenté la preuve qu’il avait informé Citrix de la violation dès le 28 décembre 2018. Citrix a initialement nié cette affirmation, mais a depuis reconnu avoir reçu une notification de Resecurity le 28 décembre. Citrix a refusé de commenter plus loin. disant qu’il enquête toujours sur la question.
LUMIÈRE À FORCE BRUTE
Au contraire, la pulvérisation de mots de passe est un outil d’attaque assez grossier, quoique parfois peu efficace. Mais ce que nous avons commencé à voir de plus en plus au cours de la dernière année, c’est ce que l’on pourrait appeler « lumière de force brute” attaques sur les comptes. Une source qui a une visibilité sur un botnet d’appareils Internet des objets qui est principalement utilisé pour les attaques de bourrage d’informations d’identification a déclaré qu’il voyait les attaquants utiliser des systèmes distribués et piratés comme des routeurs, des caméras de sécurité et des enregistreurs vidéo numériques pour anonymiser leurs requêtes répétées.
Cette source a remarqué que le système automatisé utilisé par les botmasters IoT essaiera généralement plusieurs dizaines de variantes d’un mot de passe que chaque cible avait précédemment utilisé sur un autre site – en ajoutant un « 1 » ou un point d’exclamation à la fin d’un mot de passe, ou en capitalisant le première lettre de mots entiers dans les mots de passe précédents, et ainsi de suite.
L’idée derrière cette méthode consiste à piéger non seulement les utilisateurs qui réutilisent en gros le même mot de passe sur plusieurs sites, mais également à attraper les utilisateurs qui réutilisent peut-être simplement de légères variations du même mot de passe.
Cette forme de bourrage d’informations d’identification est brillante du point de vue de l’attaquant, car elle lui rapporte probablement un peu plus de suppositions correctes que les techniques normales de pulvérisation de mot de passe.
C’est aussi intelligent parce qu’il emprunte à la nature humaine. Disons que votre réutilisateur moyen de mot de passe a l’habitude de recycler le mot de passe « monkeybutt ». Mais ensuite, il arrive sur un site qui lui demande d’utiliser des majuscules dans son mot de passe pour créer un compte. Alors, que choisit cet utilisateur ? Oui, « Monkeybutt ». Ou « Monkeybutt1 ». Vous obtenez l’image.
Il y a un vieil adage en matière de sécurité : « Tout le monde se fait tester par pénétration, qu’il paie ou non quelqu’un pour le plaisir. » C’est un peu comme ça avec les entreprises et leurs utilisateurs et mots de passe. Comment votre organisation résisterait-elle à une pulvérisation de mot de passe ou à une attaque légère par force brute ? Si vous ne savez pas, vous devriez probablement le découvrir, puis agir en fonction des résultats en conséquence. Je vous garantis que les méchants vont le découvrir même si vous ne le faites pas.