A1 Telecom, le plus grand fournisseur de services Internet d’Autriche, a subi une importante violation de données le mardi 8 février. L’acteur de la menace derrière l’attaque a exigé un demi-million de dollars américains en Ethereum dans les 72 heures, sinon il publierait les données.

A1, un réseau mobile opérant en Croatie et dans la région, a rapporté au journal croate local, Index.hr*que la violation a touché environ 10 % de ses abonnés au réseau – avec des noms, adresses, numéros de téléphone et numéros d’identification personnels (OIB) illégalement arraché.

Les victimes demandent réparation

Le pirate qui prétend avoir pénétré dans les systèmes d’A1 a contacté plusieurs médias par e-mail, les informant de la situation. Dans son e-mail à Index.hr, il a affirmé qu’il avait compromis l’ensemble du système de télécommunication. Il a déclaré avoir même transmis une partie de sa base de données d’utilisateurs à A1 comme preuve de la violation. A1, cependant, n’a pas réagi.

Dans son rapport écrit à RTL.hr*, le pirate donne plus de détails sur son opération. Selon lui, A1 était pleinement conscient du piratage pendant au moins 6 à 7 jours et n’a rien fait à ce sujet. « Ils n’ont même pas pris la peine de changer le mot de passe du compte d’un agent que j’utilisais pour accéder à leurs outils (A1) ». Apparemment, ce n’est qu’après plus d’une semaine de « sacs » avec leurs outils et d’extraction de données personnelles qu’A1 a répondu d’une manière ou d’une autre.

Publicité

Entre-temps, de nombreuses victimes ont exigé qu’A1 lui paie ce qu’il demande – 500 000 $ en crypto-monnaie – afin que leurs données ne soient pas exposées. De nombreux propriétaires d’entreprises locales ont exprimé leur inquiétude quant à l’utilisation abusive des données sensibles, principalement de l’OIB. L’un d’eux a dit :

C’est un e-mail officiel, la société officielle OIB, que vous pouvez utiliser pour commander tout type de service. Vous pouvez commander un appareil mobile de 10 000 HRK (environ 1 500 $). Je ne veux pas avoir à penser à ces dangers, et puis quelque chose comme ça arrive, et tu n’as plus le choix.

Andrija Lovrec, utilisateur A1

A1 a répondu à ces préoccupations en disant que les données volées ne représentent pas plus de 10 % du nombre total de tous les utilisateurs de son réseau, et que ces données comprennent principalement le nom, le prénom, l’adresse et le numéro de téléphone. Ils déclarent qu’il n’y a aucune raison de s’inquiéter car « vous avez encore besoin de beaucoup plus de données pour commander n’importe quel service ». Dubravka Štefanac Vinovrški, directrice des communications d’entreprise chez A1, a déclaré qu’aucune action du côté des utilisateurs n’est requise, car A1 a déjà pris les mesures de sécurité nécessaires, comme changer les mots de passe de tous les utilisateurs.

Le dernier avertissement

Après que le portail Index.hr a envoyé un e-mail au pirate et s’est renseigné sur le résultat de sa demande, il a déclaré qu’A1 n’avait répondu à aucun de ses e-mails, y compris ceux envoyés aux hauts responsables de l’entreprise. Il a ensuite rappelé à A1 qu’après le passage de 72 heures, il rendrait la base de données publique. Mais s’ils le payaient selon sa demande, il ne ferait rien d’autre. Il a également accusé A1 de ne pas suffisamment protéger les données des utilisateurs.

Avant l’annonce, ils ne m’ont pas informé ni répondu à ma question. Ma demande de 150 ETH n’a pas été remplie. Elle a passé près de 48 heures, je leur en ai donné 72…

Le pirate

En attendant, l’expert croate en communication, Đuro Labura, commenté pour le portail RTL* qu’il ne pense pas que ce soit une bonne idée de céder au chantage, car c’est une invitation à d’autres ayant des intentions similaires.

À 23 heures le 10 février, le pirate a donné son dernier avertissement via Index.hr – déclarant qu’il donnerait encore 20 minutes à A1 avant de rendre la base de données publique.

Épilogue

Une fois les 72 heures écoulées, le pirate a de nouveau contacté Index.hr, les informant qu’il avait publié les données. Lorsqu’on lui a demandé de fournir une preuve, il n’a jamais répondu ni recontacté. Pourtant, il était évident d’après ses messages qu’il n’avait jamais reçu la rançon de 150 Ethereum.

L’agence croate de protection des données étudie actuellement si A1 a pris toutes les mesures possibles pour protéger les données de ses utilisateurs. S’ils trouvent un manquement, A1 pourrait se voir facturer plus de 10 millions de dollars* ou 2 % du chiffre d’affaires mondial annuel d’une entreprise, selon le diffuseur HRT. Si cela se produit, tous les utilisateurs concernés pourraient également poursuivre individuellement l’entreprise, mais ils devraient être en mesure de prouver qu’ils ont subi un préjudice économique (ou émotionnel), comme l’explique Dijana Kladar, une avocate croate et experte en matière d’utilisateurs. droits dans le domaine des télécommunications.

Alors qu’A1 reste confiant dans son affirmation selon laquelle il n’y a aucune raison de s’inquiéter car l’entreprise ne collecte et ne stocke que des données utilisateur de base (prétendument) qui, selon eux, ne peuvent pas être facilement abusées, nous, chez ProPrivacy, sommes loin d’être rassurés. Après tout, nous avons vu des cas d’acteurs malveillants causant des dommages importants avec beaucoup moins de données.

Rester en sécurité

Grâce au paysage des médias sociaux dans lequel nous sommes actuellement coincés, il est incroyablement facile de découvrir presque n’importe quoi sur une personne en se basant sur seulement quelques informations de base. Pour un acteur habile de la menace, seuls le nom et l’adresse pourraient suffire pour des actes répréhensibles inimaginables. Sans compter qu’en Croatie, des cas de convertisseurs en ligne suspects se sont déjà produits dans le passé, transformant un type de données sensibles en un autre, comme l’OIB en JMBG.

Nous voudrions donc rappeler à nos lecteurs, une fois de plus, d’être extrêmement prudents avec les données personnelles. Gardez à l’esprit que même les institutions et entreprises de confiance (comme votre FAI) aiment souvent recueillir plus d’informations sur nous que ce qui est nécessaire pour leur activité. Soyez suffisamment confiant pour remettre en question leurs intentions et leurs méthodes et limiter leurs tentatives indiscrètes. Parce qu’alors, quand / si une situation comme celle-ci se produit, vous aurez beaucoup moins de soucis à vous faire.


* Source en langue croate

Rate this post
Publicité
Article précédentHuawei développe un téléphone pliable enroulable : rapport
Article suivantL’Indien Torrent Power finalise l’achat d’un parc solaire de 25 MW au Gujarat

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici