Les données des dirigeants d’entreprise publiées sur le Dark Web

Un demi-million d’enregistrements de personnalités de haut rang du monde entier sont librement partagés sur les forums du Dark Web. L’exposition est grave, la base de données comprenant les identifiants de messagerie, les numéros de téléphone et les mots de passe hachés des PDG d’entreprises.

Les données publiées sur une plateforme Dark Web russophone

Les données en fuite émanent d’un site web, capitaleconomics.com, présentant une vulnérabilité d’injection SQL. Cette dernière a été largement exploitée avant que le service informatique ne la remarque et ne la corrige. Environ 500 000 enregistrements d’individus de niveau C (cadres supérieurs, PDG, directeurs financiers) ont été publiés sur un forum Dark Web russophone, exposant les détails sensibles des personnes clés des entreprises victimes. 

L’attaque a été découverte par des chercheurs de Cyble qui ont informé les individus trouvés dans la base de données partagée. La base de données a été initialement mise en vente. Néanmoins, étant donné qu’elle a été partagée avec de nombreux autres pirates, le hacker a décidé de partager gratuitement les 400 Mo de données volées contenant des adresses mail, des numéros de téléphone et des mots de passe bcryptés.

Faille corrigée, risque toujours présent

Capital Economics a maintenant modifié la faille, empêchant l’exfiltration de données. Mais la fuite s’est déjà produite. Auquel cas, cette fuite d’adresses e-mail et de numéros de téléphone crée un potentiel d’exploitation notable. Les identifiants de messagerie valides peuvent être utilisés pour les attaques de compromis de messagerie professionnelle (BEC) à la suite de reprises de compte et, bien sûr, de phishing. Les numéros de téléphone peuvent être utilisés pour l’échange de cartes SIM menant au contournement de 2FA, à la distribution de logiciels malveillants par SMS ou au smishing.

Les experts de Cyble qui ont téléchargé la base de données pour vérifier la validité de son contenu et pour informer les personnes concernées, ont confirmé que les données semblent provenir de cadres travaillant dans des entreprises du monde entier. Il ne s’agissait donc pas d’une fuite ciblée concernant une région particulière.

Réinitialiser les mots de passe

Ce qui n’est pas clair, c’est si ces personnes étaient membres de la plateforme Capital Economics ou si le service a en quelque sorte récupéré leurs données auprès d’un partenaire ou d’un tiers. De plus, pour l’heure, il n’y a pas d’avis de fuite de données sur leur site Web ou leurs canaux de médias sociaux.

L’algorithme Bcrypt utilisé pour hacher les mots de passe est généralement considéré comme sécurisé, mais il n’est pas très efficace contre les pirates qui sont prêts à faire des efforts contre les mots de passe courts et faibles. Ainsi, réinitialiser les mots de passe serait la bonne chose à faire maintenant. Pour plus de sécurité, le choix d’un long mot de passe est vivement recommandé.

Pin It on Pinterest