Attaque de hackers contre le secteur bancaire brésilien
Le 7 juillet, l’une des plus grandes attaques de hackers contre le secteur bancaire de l’année a été signalée. Des cybercriminels ont dérobé environ 140 millions de dollars à six institutions financières brésiliennes en utilisant les identifiants d’un employé de C&M Software.
Détails de l’attaque
L’incident s’est produit le 30 juin, lorsque les attaquants ont soudoyé João Nazareno Roque pour obtenir l’accès au système avec ses identifiants. Selon la police, il a également transmis des instructions pour réaliser certaines actions qui ont assuré le succès de l’attaque. Roque a initialement reçu 920 dollars pour son implication. Plus tard, suivant les recommandations des attaquants, il a exécuté des commandes au sein de l’infrastructure de C&M et a gagné 1 850 dollars supplémentaires, selon les rapports.
Roque a tenté de dissimuler ses activités en changeant de téléphone portable tous les 15 jours. Cependant, le 3 juillet, il a été arrêté à São Paulo. On estime qu’au moins 30 à 40 millions de dollars des fonds volés ont été convertis en crypto-actifs.
Conversion des fonds volés
Selon une enquête du détective on-chain ZachXBT, les attaquants ont converti les fonds en BTC, ETH et USDT via des échanges OTC et de cryptomonnaies en Amérique Latine.
Arrestation de Daniil Kasatkin
Le 9 juillet, des nouvelles ont émergé de l’arrestation du joueur de basket-ball professionnel russe Daniil Kasatkin. Selon des rapports médiatiques, il a été arrêté le 21 juin à l’aéroport Charles de Gaulle en France, à la demande des autorités américaines. L’athlète est accusé d’avoir agi en tant que négociateur dans un réseau de hackers utilisant des ransomwares. Kasatkin reste en détention, et les autorités américaines cherchent son extradition pour faire face à des accusations. Son avocat a déclaré que l’athlète était innocent.
Vulnérabilités dans le système McHire
Le nom du groupe de hackers n’a pas été divulgué. Entre 2020 et 2022, les attaquants auraient mené plus de 900 attaques contre diverses organisations, y compris deux agences fédérales. Selon Wired, les chercheurs Ian Carroll et Sam Curry ont découvert des vulnérabilités critiques dans le système McHire le 9 juin. Cette plateforme, qui recrute des employés pour McDonald’s, utilise un bot IA nommé Olivia.
En utilisant des mots de passe simples comme « 123456 », les chercheurs ont obtenu l’accès au panneau d’administration du développeur de la plateforme, Paradox.ai. Ce dernier contenait une base de données avec 64 millions d’enregistrements, incluant les noms, e-mails et numéros de téléphone des demandeurs d’emploi. Depuis 2019, la plateforme était accessible sans authentification à deux facteurs.
Paradox.ai a reconnu la fuite et a déclaré que le compte n’avait pas été utilisé par des tiers autres que les chercheurs eux-mêmes. La société a promis de mettre en place un programme de récompense pour les bugs afin d’éviter des incidents similaires à l’avenir. McDonald’s, pour sa part, a déclaré avoir corrigé la vulnérabilité le jour de sa découverte.
Commentaire de Ian Carroll
« Cela me semblait particulièrement dystopique par rapport au processus de recrutement normal, n’est-ce pas ? C’est ce qui m’a poussé à creuser plus profondément. J’ai commencé à postuler pour le poste, et en 30 minutes, nous avions un accès complet à pratiquement tous les formulaires de candidature jamais soumis à McDonald’s ces dernières années, » a-t-il souligné dans un commentaire à Wired.
Fuite de données chez Bitcoin Depot
Bitcoin Depot, un opérateur d’un réseau de distributeurs automatiques de Bitcoin avec plus de 17 000 appareils aux États-Unis, au Canada et en Australie, a informé ses clients d’une fuite de données personnelles. Une activité suspecte sur le réseau a été découverte pour la première fois le 23 juin 2023, et l’enquête interne de l’entreprise s’est conclue en juillet 2024.
Les forces de l’ordre américaines ont demandé que la divulgation publique soit retardée jusqu’à ce que leur propre enquête soit terminée. Selon une lettre envoyée aux victimes, les attaquants ont obtenu des documents appartenant à environ 27 000 clients ayant complété les procédures KYC. Le type de données divulguées varie d’une personne à l’autre, mais peut inclure : nom complet, numéro de téléphone, numéro de permis de conduire, adresse résidentielle, date de naissance et adresse e-mail.
Aucune compensation financière ou protection contre le vol d’identité n’est offerte, car les risques sont associés aux actifs cryptographiques. Les victimes ont plutôt été conseillées de rester vigilantes et de surveiller leurs relevés bancaires.
