Un acteur de la menace connu sous le nom de ShinyHunters prétend vendre une énorme quantité de données bancaires de Santander, y compris des informations sur 30 millions de clients, d’employés et de données de comptes bancaires, deux semaines après que la banque a signalé une violation de données.
ShinyHunters est connu pour avoir vendu et divulgué des données de nombreuses entreprises au fil des ans, y compris la prétendue violation massive des données de Ticketmaster de cette semaine qui a touché 560 millions de personnes.
Ils sont également propriétaires de BreachForums, une communauté en ligne notoire de trafic dans la vente et la fuite de données volées qui a survécu à plusieurs démantèlements des forces de l’ordre au cours des deux dernières années
Il y a deux semaines, la plus grande banque espagnole, Santander, a divulgué une violation de données après avoir détecté un accès non autorisé à une base de données hébergée par un fournisseur tiers.
L’enquête de l’entreprise a déterminé que l’auteur de la menace avait accédé aux données des employés et des clients au Chili, en Espagne et en Uruguay.
« À la suite d’une enquête, nous avons maintenant confirmé que certaines informations relatives aux clients de Santander au Chili, en Espagne et en Uruguay, ainsi qu’à tous les employés actuels et anciens de Santander du groupe, avaient été consultées », indique un communiqué de Santander.
« Les données des clients sur tous les autres marchés et entreprises de Santander ne sont pas affectées. »
Avance rapide de deux semaines, et comme repéré pour la première fois par un informateur du Dark Web, ShinyHunters prétend maintenant vendre les données des clients de Santander au Chili, en Espagne et en Uruguay pour 2 millions de dollars, les mêmes données que la banque a déclaré avoir été volées.
ShinyHunters affirme que les données volées contiennent les informations personnelles de 30 millions de clients et d’employés, 28 millions de numéros de carte de crédit et 6 millions de numéros de compte et de soldes.
Dans le cadre de la liste de vente, l’auteur de la menace a également partagé des échantillons de données contenant les informations répertoriées, mais dont l’appartenance à Santander ne peut être confirmée.
Cette annonce intervient peu de temps après que le FBI a saisi BreachForums le 15 mai, qui était exploité par ShinyHunters et un autre acteur de la menace connu sous le nom de Baphomet.
Alors que ShinyHunters dit que Baphomet a été arrêté, il a rapidement restauré le site BreachForums à partir d’une sauvegarde vers un nouveau domaine.
Depuis lors, l’acteur menaçant a annoncé la vente de Ticketmaster et Santander, ce qui, selon certains, a été fait pour restaurer la réputation du site après son retrait par les forces de l’ordre.
Cependant, ce qui rend ces ventes inhabituelles, c’est que les deux ont été répertoriées pour la première fois sur le forum russophone de piratage d’exploits quelques jours avant d’être répertoriées sur les BreachForums nouvellement restaurés.
Ces ventes ont été répertoriées sous les comptes des nouveaux membres, sans référence à BreachForums ou ShinyHunters, faisant croire aux autres que la vente sur BreachForums est un faux.
Cependant, ShinyHunters a souvent agi en tant que courtier en violation de données pour d’autres acteurs de la menace dans le passé, et il n’est pas rare que ces acteurs de la menace créent de nouveaux alias sur divers forums pour vendre des données volées.
Bien que TicketMaster n’ait pas confirmé si une violation de données s’est produite, ShinyHunters a la réputation de vendre des violations de données valides dans le passé.
En 2021, Shiny Hunters a affirmé vendre les données volées de 73 millions de clients d’AT&T, ce que l’entreprise a nié à plusieurs reprises à Breachtrace.
« Je m’en fiche s’ils n’admettent pas. Je ne fais que vendre », a déclaré ShinyHunters à Breachtrace à l’époque.
En 2024, après la fuite des données d’AT&T sur un forum de piratage, AT & T a finalement confirmé que les données étaient légitimes et qu’elles avaient subi une violation.
Dans le passé, ShinyHunters a violé ou divulgué les données de nombreuses entreprises, notamment Wattpad, Tokopedia, le compte GitHub de Microsoft, BigBasket, Nitro PDF, Pixlr, TeeSpring, Promo.com, Mathway, et bien d’autres.