Des dizaines de milliers d'agents fédéraux américains voient leurs données personnelles exposées après une série de violations massives chez Salesforce. Le groupe Scattered LAPSUS$ Hunters a constitué des dossiers détaillés sur plus de 22 000 employés gouvernementaux en exploitant les données clients volées à la plateforme CRM.
Plusieurs agences gouvernementales américaines sont compromises. Les fichiers récupérés par les hackers concernent la NSA, l'Agence de Renseignement de la Défense (DIA), la Commission Fédérale du Commerce (FTC) ou encore l'Administration Fédérale de l'Aviation (FAA). Les criminels ont également ciblé les Centres pour le Contrôle et la Prévention des Maladies (CDC), le Bureau de l'Alcool, du Tabac, des Armes à Feu et des Explosifs (ATF), ainsi que plusieurs membres de l'US Air Force.
Le collectif Scattered LAPSUS$ Hunters fait référence à trois groupes de hackers notoires : Scattered Spider, LAPSUS$ et ShinyHunters. Un membre du groupe a transmis des échantillons de ces informations à 404 Media, qui a pu corroborer leur authenticité en les comparant avec des données issues de précédentes violations collectées par la société de cybersécurité District 4 Labs.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Scattered LAPSUS$ aux commandes
Cet été, le collectif de hackers Scattered LAPSUS$ Hunters a piégé des employés de diverses sociétés utilisant Salesforce en les amenant à se connecter à une version frauduleuse de l'application. De cette manière, ils ont pu accéder aux bases de données clients et dérober plus d'un milliard d'enregistrements. Parmi les entreprises compromises, on retrouve Disney/Hulu, FedEx, Toyota ou UPS. Les hackers ont ensuite tenté d'extorquer Salesforce en menaçant de publier ces données sur un site public. Bloomberg rapporte que l'entreprise a refusé de payer la rançon demandée.
Ces groupes de hackers émergent du phénomène du "Com", cet écosystème de serveurs Discord et de canaux Telegram où se côtoient divers types de pirates, fraudeurs et criminels en tout genre. Cette communauté a déjà mené à bien des opérations d'envergure comme l'attaque de MGM Resorts. Pour prouver son affiliation, un membre du groupe a transmis à 404 Media un message signé avec la clé PGP de ShinyHunters, laquelle permet de vérifier l'authenticité de l'émetteur en s'assurant qu'il détient bien cette clé privée normalement secrète.
L'administration américaine en ligne de mire
Jeudi dernier, le collectif avait publié les noms et informations personnelles de plusieurs centaines d'agents du Département de la Sécurité Intérieure (DHS), de l'Immigration and Customs Enforcement (ICE), du FBI et du Département de la Justice. Certains dossiers incluaient même les adresses résidentielles des fonctionnaires. Ces publications s'accompagnaient de messages provocateurs comme "I want my MONEY MEXICO", une allusion sarcastique à une affirmation non vérifiée de Kristi Noem, secrétaire au Département de la Sécurité intérieure selon laquelle des cartels mexicains offriraient des milliers de dollars pour obtenir des informations sur les agents fédéraux.
Suite à ces révélations, le canal Telegram de Scattered LAPSUS$ Hunters a été fermé. Un membre du groupe affirme que leur serveur aurait été mis hors ligne et probablement saisi par les autorités. Selon lui, c'est la diffusion des données d'un agent de la NSA qui aurait déclenché cette réaction. Vendredi, le groupe annonçait avoir abandonné ses tentatives d'extorsion contre Salesforce, tout en continuant à compiler des informations sur les fonctionnaires américains.
Autant dire que ça doit fulminer au sein des services fédéraux américains, lesquels doivent désormais faire face à une situation inédite. On imagine que la NSA a déjà lancé une enquête interne pour évaluer l’ampleur de cette fuite. L’agence devrait ensuite partager ses conclusions avec ses partenaires gouvernementaux et privés pour coordonner une riposte.
Source : 404 Media
