Une fuite massive a révélé les données personnelles de près d'un million d'utilisateurs suite à une attaque dirigée contre les systèmes de Figure Technology Solutions, une société fintech qui opère sur Lockchain et est décrite comme native de cette technologie. Bien que la société n'ait pas publié initialement un communiqué exhaustif, les sources d'information et les services de communication de données ont reconstruit la portée de l'incident.
Fondée en 2018 et connue pour l'utilisation de la chaîne de blocs Provenance dans les produits de prêt, les investissements et la titrisation, la figure a travaillé avec plus de 250 partenaires - entre banques, coopératives de crédit et autres financements - et prétend avoir fourni plus de 22 milliards de dollars de liquidités sur la valeur du logement. Vous pouvez en savoir plus sur l'entreprise sur son site officiel figure.com et sur les principales technologies du livre qu'ils utilisent La provenance..
Selon les médias qui ont contacté l'entreprise, Figure a attribué ce qui est arrivé à une attaque de génie social dans laquelle un employé a été trompé pour fournir l'accès. Le portail TechCrunch rapporté sur la confirmation initiale de l'entreprise, et le service de notification de filtre Have I Been Pwned a publié des données spécifiques qui aident à dimensionner l'incident: 967 200 comptes touchés, avec des adresses postales uniques, des noms, des numéros de téléphone, des adresses physiques et des dates de naissance, correspondant à des informations datant de janvier 2026. Vous pouvez vérifier le journal de l'écart sur Have I Been Pwned habeenpwned.com / Violation / Figure.
Le groupe connu sous le nom de ShinyHunters a attribué l'action et affiché sur son site sur le réseau sombre ce qu'il dit est un renversement de 2,5 Go de milliers de demandeurs de prêt. Des groupes comme celui-ci exploitent souvent des informations volées à des fins d'extorsion, de vente de fichiers ou de campagnes de transplantation plus ciblées. Plusieurs médias ont signalé et suivi leur activité au cours des derniers mois; parmi les entreprises qui ont été touchées, selon les affirmations du groupe, sont des marques de premier plan dans différents secteurs.
Ce cas s'inscrit dans une tendance inquiétante qui a vu les agresseurs combiner les appels téléphoniques d'ingénierie sociale - la modalité dite « vishing » - avec des pages suprématies qui imitent les portails d'accès d'entreprise pour capturer les identifiants et les codes d'authentification multifacteurs. Une analyse récente de cette technique montre des attaques sur des comptes mono-login (SSO) chez des fournisseurs comme Okta, Microsoft et Google, utilisés comme levier pour entrer ensuite dans d'autres applications commerciales connectées. Un bon bilan de cette campagne et de ses caractéristiques techniques se trouve dans le rapport de Push silencieux qui documente la façon dont il a été supplanté au soutien technique pour persuader les employés de fournir des références et des codes MFA.
Une fois que les attaquants prennent le contrôle d'un SSO, ils peuvent se déplacer latéralement pour accéder aux services essentiels d'une entreprise : courrier d'entreprise, systèmes de vente, dépôts de documents, plateformes de service à la clientèle et autres. Un tel accès facilite des fraudes financières aux campagnes de vol de propriété intellectuelle et de supplantation qui profitent de la confiance entre les employés et les clients.
Que peuvent faire les gens et les entreprises en ce moment? Premièrement, tout utilisateur qui croit qu'il pourrait être affecté devrait vérifier si son adresse e-mail est apparue dans la fuite par des services comme Have I Been Pwned et suivre les recommandations qui y sont indiquées. Il est recommandé de changer les mots de passe dans les services où le même justificatif est réutilisé, de privilégier les mots de passe longs et uniques et d'activer des méthodes d'authentification plus résistantes au phishing : les clés de sécurité (matériel) basées sur le FIDO sont l'option la plus robuste face au vol de code d'ingénierie sociale - vous pouvez rapporter sur cette technologie sur la page de FIDO Alliance.
Il convient également d'examiner les mouvements inhabituels des comptes et des cartes bancaires, de préparer des alertes auprès des institutions financières et d'envisager de geler le rapport de crédit s'il se trouve aux États-Unis. Pour les victimes de vol d'identité, le portail officiel du gouvernement des États-Unis propose des mesures concrètes pour vol d'identité.gov. Au niveau de la bonne utilisation générale, l'Agency for Cyber Security and Infrastructure (CISA) des États-Unis maintient des recommandations pratiques pour protéger contre l'hameçonnage et les variantes du génie social dans votre guide d'hameçonnage.
Pour les organisations, la leçon va au-delà du patch immédiat : elle est essentielle pour renforcer les contrôles d'accès, mettre en œuvre des politiques d'authentification adaptatives et limiter les privilèges avec le principe de moins de privilèges. La surveillance et la réponse aux sessions anormales de l'OSP, la segmentation de l'accès aux données sensibles et le maintien de programmes continus de sensibilisation des employés qui comprennent des simulations réalistes d'hameçonnage et de vol sont des mesures qui réduisent l'impact de ces attaques. La sauvegarde, les plans d'intervention en cas d'incident et la traçabilité de l'accès sont également essentiels pour contenir et récupérer des intrusions.
L'épisode Figure s'ajoute à une vague d'intrusions dans les grandes et petites entreprises dans lesquelles la combinaison de l'ingénierie sociale et de l'accès au SSO a été particulièrement efficace pour les attaquants. Au fur et à mesure que les enquêtes se poursuivent et que les responsables se conforment aux exigences légales et réglementaires en matière de rapports, ce qui peut être fait à la fois aux utilisateurs et aux entreprises, c'est d'agir rapidement pour limiter les dommages et, surtout, de modifier la stratégie de défense en mécanismes moins vulnérables à la suppression de l'identité.
Si vous souhaitez donner suite à cette affaire, le rapport initial et les déclarations de la société sont disponibles à l'adresse suivante: TechCrunch la ventilation technique et les poursuites du groupe d'extorsion figurent dans les archives publiques et les forums de sécurité, et le résumé des comptes concernés le fournit Est-ce que j'ai été cousu. Rester informé et prendre des mesures préventives reste aujourd'hui la meilleure défense.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...