Finastra a confirmé avoir averti ses clients d’un incident de cybersécurité après qu’un acteur malveillant ait commencé à vendre des données prétendument volées sur un forum de piratage.
Finastra est une société de logiciels financiers au service de plus de 8 000 institutions dans 130 pays, dont 45 des 50 plus grandes banques et coopératives de crédit au monde. L’entreprise emploie 12 000 personnes et a déclaré l’année dernière un chiffre d’affaires de 1,7 milliard de dollars.
L’incident de sécurité s’est produit le 7 novembre 2024, lorsqu’un attaquant a utilisé des informations d’identification compromises pour accéder à l’un des systèmes SFTP (Secure File Transfer Platform) de Finastra.
La société affirme que son enquête menée jusqu’à présent, avec l’aide d’experts externes en cybersécurité, ne montre aucune preuve que la violation s’est étendue au-delà de sa plate-forme SFTP.
Les services logiciels de la société comprennent des solutions de prêt, le traitement des paiements, des plateformes de vente au détail et bancaires compatibles avec le cloud et des outils de gestion des risques commerciaux.
Brian Krebs signalé pour la première fois que Finastra a subi une faille de sécurité hier après avoir vu une notification de violation de données envoyée à une personne concernée.
L’attaque serait liée à un message récent sur un forum de piratage, dans lequel un acteur malveillant nommé « abyss0 » prétendait vendre 400 Go de données volées à Finastra.
Interrogé sur le message du forum, un porte-parole de Finastra n’a ni confirmé ni nié si les données leur appartenaient, disant seulement à BleepingComputer qu’ils avaient subi une faille de sécurité de portée limitée et qu’ils évaluaient actuellement son impact.
« Le 7 novembre 2024, le centre d’opérations de sécurité (SOC) de Finastra a détecté une activité suspecte liée à une plateforme de transfert de fichiers sécurisé (SFTP) hébergée en interne que nous utilisons pour envoyer des fichiers à certains clients », a déclaré Finastra à BleepingComputer.
« Nous avons immédiatement lancé une enquête en collaboration avec une société de cybersécurité tierce et, par mesure de précaution, avons isolé et confiné la plateforme. Cet incident s’est limité à une seule plateforme et il n’y a eu aucun mouvement latéral au-delà de celle-ci. »
La société a également précisé que la plate-forme SFTP compromise n’était pas utilisée par tous ses clients et qu’elle n’était pas non plus la plate-forme par défaut utilisée par Finastra pour l’échange de fichiers.
Cependant, l’impact exact et la portée de cette violation font toujours l’objet d’une enquête, et il faudra peut-être un certain temps pour déterminer qui est concerné.
Ceux qui sont considérés comme concernés seront contactés directement, de sorte qu’aucune divulgation publique de Finastra n’est attendue.
Il convient de noter que l’acteur malveillant qui a publié les échantillons de données plus tôt ce mois-ci a depuis supprimé le message, donc on ne sait pas si les données ont été vendues à un acheteur ou si « abyss0 » s’est inquiété de cette publicité soudaine.
En mars 2020, Finastra a subi un autre incident majeur de cybersécurité lorsqu’elle a été touchée par des acteurs de ransomware.
À l’époque, l’entreprise de technologie financière a été contrainte de mettre hors ligne certaines parties de son infrastructure informatique en réponse à la menace, ce qui a provoqué des interruptions de service.
Bien que les moyens d’accès initial soient inconnus, les rapports des plateformes de surveillance des menaces ont souligné la stratégie de gestion des vulnérabilités de l’entreprise, notant qu’elle utilisait d’anciennes versions de Pulse Secure VPN et des serveurs Citrix.
