Une étude alarmante sur les violations de données
Une nouvelle étude a mis en lumière l’ampleur des informations sensibles divulguées à travers des attaques par ransomware et des violations de données, incluant des documents financiers clés et des clés cryptographiques. Le rapport, publié par la société de cybersécurité Lab 1, a analysé plus de 141 millions de dossiers issus de 1 297 incidents de violation. Contrairement à la plupart des évaluations de violations qui se concentrent sur des données structurées comme les noms d’utilisateur et les mots de passe, l’analyse de Lab 1 a ciblé des fichiers non structurés, souvent négligés mais potentiellement plus dommageables.
Dangers cachés : documents financiers, clés cryptographiques et e-mails exposés
Les violations incluent des documents financiers, des clés cryptographiques, des archives d’e-mails et des dossiers internes d’entreprise. Selon le PDG de Lab 1, Robin Brattel, l’objectif était d’exposer les risques cachés dans des fichiers quotidiens qui attirent rarement l’attention.
« Nous nous sommes concentrés sur les énormes risques associés aux fichiers non structurés qui contiennent souvent des informations de grande valeur, telles que des clés cryptographiques, des données de compte client ou des contrats commerciaux sensibles, »
a-t-il déclaré.
Les résultats sont alarmants. Les documents financiers sont apparus dans 93 % des incidents de violation étudiés, représentant 41 % de tous les fichiers analysés. Près de la moitié de ces documents comprenaient des relevés bancaires, et plus d’un tiers contenait des numéros de compte bancaire international. Dans 82 % des cas, des informations personnellement identifiables (PII) de clients ou d’entreprises ont été exposées, dont une grande partie provenait d’interactions avec le service client. Un chiffre stupéfiant de 51 % des incidents comprenait des e-mails contenant des numéros de sécurité sociale américains. Peut-être le plus préoccupant était la découverte de clés cryptographiques dans 18 % des violations. Ces clés peuvent être utilisées pour contourner les systèmes d’authentification, donnant aux attaquants un avantage puissant dans de futures intrusions cybernétiques. Le code source et les scripts internes ont également été largement divulgués, apparaissant dans 17 % des ensembles de données analysés.
L’étude souligne un changement dans les tactiques des cybercriminels. Les hackers agissent de plus en plus comme des scientifiques des données, exploitant les données volées pour des actifs de grande valeur à utiliser dans la fraude, le vol d’identité ou des suivis de ransomware.
« Avec les cybercriminels se comportant désormais comme des scientifiques des données pour découvrir ces informations précieuses alimentant les cyberattaques et la fraude, les données non structurées ne peuvent pas être ignorées, »
a averti Brattel.
16 milliards de connexions divulguées : une nouvelle méga violation
Le mois dernier, une massive violation de données a exposé plus de 16 milliards d’identifiants de connexion provenant de plateformes telles qu’Apple, Google, Facebook, Telegram et GitHub, selon des chercheurs en cybersécurité de Cybernews. Cette violation, parmi les plus importantes jamais enregistrées, n’est pas une seule fuite mais une combinaison d’ensembles de données rassemblés par des malwares infostealers, des attaques de remplissage d’identifiants et des violations non divulguées suivies depuis début 2024. Certains ensembles individuels contenaient jusqu’à 3,5 milliards d’entrées.
Les chercheurs ont averti que les identifiants divulgués – dont beaucoup ont été récemment récoltés – posent une menace sévère pour les utilisateurs, en particulier ceux dans le domaine de la cryptomonnaie, en raison de l’inclusion de détails de connexion sensibles, de cookies et de jetons. La structure des données suggère qu’elles ont été récoltées par des malwares modernes, les rendant beaucoup plus dangereuses que les fuites anciennes et recyclées. Un ensemble de données lié à Telegram comprenait 60 millions de dossiers, tandis qu’un autre, prétendument lié à la Russie, avait plus de 455 millions. Une grande partie des données a été trouvée dans des bases de données Elasticsearch non sécurisées et des systèmes de stockage d’objets, brièvement exposées mais suffisamment longtemps pour être copiées. Bien que la source exacte reste floue, les experts en cybersécurité soupçonnent que des acteurs criminels ont compilé ces dossiers. Avec un tel trésor d’identifiants, les attaquants disposent désormais d’outils pour le phishing, les ransomwares et l’accès non autorisé aux portefeuilles de cryptomonnaie, en particulier pour les utilisateurs manquant d’authentification multi-facteurs.
