Vishing et SSO exposent les données ADT après l'attaque ShinyHunters

ADT a confirmé un incident de sécurité suite à une menace publique du groupe d'extorsion ShinyHunters, qui a prétendu avoir obtenu et cherche à filtrer des millions de dossiers si elle ne reçoit pas de rançon. Bien que l'entreprise prétende que l'intrusion a été rapidement détectée et contenue et qu'aucune donnée de paiement ou aucun système de sécurité du client n'a été consulté, la noms, téléphones et adresses- et dans un petit pourcentage, les dates de naissance et les quatre derniers chiffres de SSN ou d'identification fiscale - restent préoccupés par le risque de leur utilisation dans les supplantations de fraude et d'identité.

Les informations publiées par les attaquants et les déclarations sur la vectorialisation de l'attaque indiquent un schéma récurrent: vihing (phishing by voice) visant à compromettre les comptes SSO des employés, dans ce cas par Okta, pour accéder aux applications connectées SaaS telles que Salesforce. Cette approche explore une grande confiance dans l'accès des entreprises et l'interconnexion des services cloud, transformant un seul compte engagé en passerelle vers de grandes quantités de données PII et internes.

Les conséquences pratiques pour les clients comprennent un risque accru d'escroqueries ciblées, des tentatives d'ingénierie sociale beaucoup plus convaincantes et la possibilité que des données apparemment « limitées » soient combinées avec d'autres sources de fraude plus sophistiquées. Pour l'entreprise, en plus du coût de la réputation, il y a des risques réglementaires, des exigences et la nécessité de renforcer les contrôles sur les fournisseurs et les tiers après des épisodes antérieurs d'exposition aux données.

Si vous êtes un client ou un client ADT potentiel, il est pertinent de prendre des mesures préventives: Regardez les alertes de fraude sur vos comptes, il s'agit d'un rapport de fraude actif avec votre banque, envisager de geler le rapport de crédit si vous vivez dans une juridiction qui lui permet et méfiez les appels inattendus qui demandent à confirmer des renseignements personnels. ADT a indiqué qu'elle contacterait les personnes concernées; dans toute communication, elle vérifierait leur authenticité par les voies officielles avant de fournir des données.

Pour les organisations et les responsables de la sécurité, l'affaire souligne de nouveau que le modèle SSO est de grande valeur pour les attaquants et que la simple existence de MFA ne suffit pas s'il est vulnérable à la tromperie par la parole ou par SMS. Il est essentiel de passer à des mécanismes d'authentification résistants à l'hameçonnage, tels que les clés FIDO2 ou les jetons basés sur des certificats, d'appliquer des politiques moins privilégiées pour l'accès aux données sensibles et aux applications critiques segmentées. En outre, la surveillance continue des sessions des SSO, les alertes anormales et la révision des configurations d'intégration entre SSO et SaaS devraient être une priorité.

En outre, les entreprises devraient intégrer des exercices d'intervention en cas d'incidents qui comprennent des scénarios d'engagement en matière d'OSS et de voltage, renforcer la gouvernance des fournisseurs et des centres de contact et exiger des contrôles contractuels et des audits de sécurité. Une communication transparente avec les clients et les organismes de réglementation est essentielle pour atténuer les dommages à la réputation et remplir les obligations légales.

Si vous voulez approfondir le fonctionnement de groupes comme ShinyHunters et des recommandations pratiques contre le phishing, veuillez vous référer au rapport de nouvelles couvrant cet incident et la tactique des extorseurs dans Calculateur et les guides de défense anti-phishing du Centre national de cybersécurité du Royaume-Uni NCSC - Phishing. Pour des actions concrètes qui peuvent mettre en place des équipes de sécurité, la US Infrastructure and Cybersecurity Agency. Les États-Unis formulent des recommandations pratiques sur l'atténuation et le rétablissement des attaques d'hameçonnage et les engagements en matière de responsabilité.

Bref, ce nouvel épisode confirme une tendance inquiétante : les attaquants priorisent les vecteurs humains et les SSO pour maximiser l'impact. La réponse appropriée combine des mesures techniques (authentification forte, segmentation et surveillance), des processus de formation et de gouvernance et, pour les personnes concernées, une surveillance active de leur identité et de leurs données personnelles.