Environ 3 000 données des travailleurs d'UniCredit sont mises en vente après une attaque de piratage
Le 19 avril, un utilisateur du forum de piratage se cachant derrière le surnom de c0C0linoz a proposé à la vente des informations personnelles et professionnelles sur les employés d'UniCredit. UniCredit est la plus grande banque d'Italie et l'une des plus grandes institutions financières d'Europe. Elle compte près de 100 000 employés ainsi que des filiales dans plusieurs pays. Beaucoup de gens étaient intéressés par ce qui était mis en vente exactement, et des chercheurs de Cyble ainsi que des employés d'une unité de Telecom Italia appelée Telsy ont décidé de jeter un coup d'œil.
Table of Contents
Qu'est-ce qui a été volé?
Selon la publication de c0c0linoz, les cybercriminels en herbe avec de l'argent en poche pourraient acheter les noms, les adresses e-mail, les numéros de téléphone et les mots de passe cryptés des employés d'UniCredit. Il n'y avait pas grand-chose disponible en termes d'informations techniques, mais le vendeur a souligné que les données remontaient à "fin 2018-2019" et après avoir vérifié les exemples de dossiers c0c0linoz publiés sur le forum de piratage, les chercheurs de Telsy ont conclu que les informations étaient authentique.
D'où a-t-il été volé?
De toute évidence, une brèche dans une institution financière aussi massive pourrait avoir d'énormes conséquences non seulement pour les employés, mais aussi pour les clients. Après avoir entendu parler de l'histoire, Bloomberg a contacté la banque et a appris que les systèmes d'UniCredit n'avaient pas été violés. Au lieu de cela, l'attaque visait une plate-forme de recrutement de ressources humaines développée et gérée par une entreprise roumaine.
L'enquête de Telsy a identifié plusieurs comptes sur d'autres forums de piratage, qui sont probablement liés à c0c0linoz, et les chercheurs ont vu que les données étaient publiées plusieurs fois. Certaines annonces ont mentionné que les données provenaient de Roumanie, mais il n'est pas clair si les employés concernés se trouvent uniquement dans le pays d'Europe orientale ou s'ils sont répartis sur tout le continent.
Combien coûtent les données?
Les preuves suggèrent que la plateforme RH tierce a été piratée via une injection SQL. Les injections SQL sont à l'extrémité inférieure du spectre en matière de sophistication. C'est loin d'être l'attaque la plus difficile à réussir, mais le fait est que celui qui l'a fait veut un joli sou.
Le nombre d'employés touchés est d'environ 3 000, et les cybercriminels qui veulent une liste de leurs noms peuvent l'avoir pour 1 000 $. Ceux qui souhaitent avoir la base de données complète avec tous les détails, cependant, doivent payer 10 000 $.
L'algorithme de chiffrement utilisé pour brouiller les mots de passe des employés concernés est inconnu, ce qui signifie qu'il est difficile de dire à quel point les données présentent un risque. À moins que la récupération des informations d'identification en clair ne soit triviale, cependant, les sommes publiées dans l'annonce pourraient exclure c0c0linoz du marché. J'espère que c'est exactement ce qui va se passer, mais UniCredit devrait être prêt à atténuer le risque au cas où ce ne serait pas le cas.
