[ad_1]

Parle parle, un fournisseur britannique de téléphonie et de haut débit comptant plus de quatre millions de clients, a révélé vendredi que des intrus avaient piraté son site Web et pourraient avoir volé des données personnelles et financières. Des sources proches de l’enquête affirment que la société a reçu une demande de rançon d’environ 80 000 £ (~ 122 000 USD), les attaquants menaçant de publier les données des clients de TalkTalk à moins qu’ils ne reçoivent le montant en Bitcoin.

Capture d'écran 2015-10-24 à 10.08.01 AMDans une déclaration sur son site Web, TalkTalk a déclaré qu’une enquête criminelle avait été lancée par l’unité de cybercriminalité de la police métropolitaine à la suite « d’une cyberattaque importante et soutenue sur notre site Web ».

« Cette enquête est en cours, mais malheureusement, il est possible que certaines des données suivantes aient été compromises : noms, adresses, date de naissance, numéros de téléphone, adresses e-mail, informations de compte TalkTalk, détails de carte de crédit et/ou coordonnées bancaires », la déclaration continue. « Nous continuons à travailler avec les principaux spécialistes de la cybercriminalité et la police métropolitaine pour établir exactement ce qui s’est passé et l’étendue de toute information consultée. »

Une source proche de l’enquête qui s’est exprimée sous couvert d’anonymat a déclaré à BreachTrace que le groupe de pirates qui avait exigé la rançon de 80 000 £ avait fourni à TalkTalk des copies des tables de sa base de données d’utilisateurs comme preuve de la violation. La base de données en question, a indiqué la source, semble liée à au moins 400 000 personnes qui ont récemment fait l’objet de vérifications de crédit pour un nouveau service avec l’entreprise. Cependant, la déclaration de TalkTalk indique qu’il est trop tôt pour dire exactement combien de clients ont été touchés. « Identifier l’étendue des informations consultées fait partie de l’enquête en cours », a déclaré la société.

Il semble que plusieurs collectifs de pirates ont depuis revendiqué la responsabilité du piratage, dont un que le BBC décrit en tant que «groupe islamiste russe» – bien que des sources affirment qu’il n’y a absolument aucune preuve à l’appui de cette affirmation pour le moment.

Séparément, des promesses de publier les données volées sont apparues sur Alpha Bay, un marché noir du Deep Web spécialisé dans la vente de biens volés et de drogues illicites. La publication a été faite par quelqu’un utilisant le surnom de « Courvoisier ». Ce membre, dont la signature le décrit comme « Vendeur de fraude et de drogue de niveau 6 », semble être un participant actif sur le marché AlphaBay avec de nombreux bons de clients satisfaits qui se sont tournés vers lui pour des drogues illicites et des cartes de crédit volées, entre autres biens. Et services.

Il semble probable que Courvoisier ne bluffe pas, du moins en ce qui concerne la publication d’un sous-ensemble de données client TalkTalk. Selon un fil de discussion sur Reddit.com dédié à l’explication du nouveau système de niveaux d’AlphaBay, un vendeur AlphaBay qui a atteint le statut de niveau 6 a réalisé avec succès au moins 500 ventes d’une valeur totale d’au moins 75 000 $ et a obtenu une évaluation positive de 90 % ou plus de la part des clients précédents.

Un fil du marché noir d'AlphaBay promettant la publication des données des clients de TalkTalk.

Un fil du marché noir d’AlphaBay promettant la publication des données des clients de TalkTalk.

« La publication sera mise à jour sous peu », a promis Courvoisier dans un fil de discussion AlphaBay vendredi. « Les données seront fournies dans le format suivant :

Nom
Date de naissance
Adresse
Type de location
Années à l’adresse
MoisÀAdresse
Téléphone fixe
Téléphone mobile
E-mail
Employeur
Titre de l’emploi
EmploiEmplacement
EmployeursTéléphone
Banque
Numéro de compte
Code de tri »

Cela suit approximativement les détails qui, selon TalkTalk, auraient pu être consultés sur les clients :

Nom
Date de naissance
Adresse
Adresse e-mail
Numéro de téléphone
Informations sur le compte TalkTalk
Carte de crédit et coordonnées bancaires

Selon ma source, l’intrusion a commencé par une technique d’attaque connue sous le nom de Injection SQL (SQLi), une méthode qui abuse d’une configuration incorrecte dans une base de données qui fait que la base de données crache ou vide des informations. La source a déclaré que l’attaque SQLi avait été ponctuée par une attaque par déni de service qui visait à empêcher les utilisateurs légitimes de visiter le site ciblé, et que l’assaut débilitant avait peut-être été lancé pour détourner l’attention du piratage de la base de données.

Plusieurs personnes sur Twitter ont également publié des informations suggérant qu’elles pourraient savoir comment la violation s’est produite et qu’il n’y avait que quelques milliers de dossiers de clients exposés dans la violation.

Le 18 octobre 2015, une personne utilisant le pseudonyme « Fearful » et l’alias « Glubz » signalé une vulnérabilité dans la section vidéos du site Web de TalkTalk (videos.talktalk.co.uk). La faille a été signalée via xssposed.org, un site qui fonctionne comme une sorte de centre d’échange public d’informations sur les vulnérabilités non corrigées des sites Web. Xssposed.org a déclaré avoir vérifié que la faille existait bien dans la page des vidéos TalkTalk, mais qu’aucun détail technique n’était divulgué au public afin de donner au propriétaire du site Web le temps de corriger la vulnérabilité sans mettre ses utilisateurs en danger.

Fait intéressant, un utilisateur de Twitter avec le pseudo Twitter @Craintif a posté sur l’attente d’un raid des autorités britanniques à tout moment. Le profil Twitter renvoie au site Web (éventuellement compromis) elliott[dot]rapporterqui redirige actuellement vers une page avec des images défilantes d’un jeune homme aux cheveux blonds, le logo TalkTalk et un policier britannique.

UNE Version du site mise en cache par Google indique que Glubz a « continuellement trouvé des exploits de sites Web allant d’exploits/bogues non critiques et critiques. J’ai toujours voulu travailler pour une entreprise spécialisée dans ce genre de choses et ce moment est enfin venu. Être payé pour quelque chose que vous aimez est probablement le meilleur travail de tous les temps. Vous pouvez également me trouver sur XSSPOSED sous le nom d’utilisateur ‘Glubz‘. » En effet, une liste sur xssed.org classe Glubz parmi ses Top 50 des chercheurs en sécuritéet dit que le compte Twitter de Glubz est « @Fearful ».

TalkTalk s’est excusé pour la violation et a déclaré que depuis la découverte de la violation mercredi, il avait entrepris un examen complet de la sécurité de son site Web et avait pris « toutes les mesures nécessaires » pour sécuriser le site. La société offre également à ses clients 12 mois de surveillance de crédit gratuite via Cabocheun service d’évaluation du crédit offert par l’agence de référence de crédit Crédit d’appel.

Les attaques d’extorsion mettent les entreprises victimes dans une certaine impasse, car même si elles paient la demande de rançon, rien ne garantit que les données n’ont pas déjà été partagées ou volées par d’autres attaquants – ou que les extorqueurs n’iront pas simplement de l’avant et publieront les données même s’ils sont payants.

Comme je l’ai noté dans une interview Reddit Demandez-moi n’importe quoi Vendredi, il y a, malheureusement, beaucoup de place pour la croissance des cyberattaques qui tirent parti d’un certain type de rançon ou d’extorsion.

« Il semble que les escrocs acquièrent une meilleure connaissance de la situation lorsqu’ils pénètrent quelque part, ce qui augmente bien sûr le potentiel d’une attaque opportuniste (téléchargement au volant, piratage de base de données, explosion de spams chargés de logiciels malveillants) pour se transformer en quelque chose de beaucoup plus grand et plus coûteux pour la victime ou l’organisation », ai-je écrit.

Mise à jour, 11 h 17 HE : Ajout d’informations sur les vulnérabilités signalées dans la partie vidéo du site Web de TalkTalk.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *