Les plus grandes violations de données de 2021 et ce que nous en avons appris
Publié: 2021-09-162021 a été une mauvaise année pour la cybersécurité.
Avec l'incertitude entourant la pandémie, une main-d'œuvre nouvellement éloignée et un manque évident de protections adéquates pour des milliers d'entreprises à travers le pays, nous avions un environnement qui était mûr pour être exploité par des acteurs malveillants.
Et les cybercriminels ont fait exactement cela. S'attaquer aux peurs et aux angoisses des gens, aux attaques de phishing, aux ransomwares et à d'autres vecteurs d'attaque qui s'appuyaient sur l'ingénierie sociale a considérablement augmenté, en plus d'autres vecteurs comme l'injection SQL, les exploits zero-day et les attaques par déni de service (DDoS).
Bien que ce soient les grandes attaques qui obtiennent le plus de couverture, les PME sont ciblées avec autant de fréquence, et aucune entreprise n'est trop petite pour être victime de cybercriminalité dans l'environnement de cybersécurité d'aujourd'hui.
Selon un rapport de 2020, 55% des PME ont subi une cyberattaque.
Aujourd'hui, nous allons examiner certaines des plus grandes violations de données de l'année, ce qui les a provoquées et ce que nous pouvons en apprendre.
Article connexe : Les cyberattaques pandémiques stimulent l'adoption de la technologie
La bonne nouvelle
Il serait négligent de ne pas reconnaître que les violations de données ont en fait diminué en 2021 par rapport à 2020, de 24 %.
Cela ne signifie cependant pas qu'une amélioration suffisante a été apportée pour rester à l'abri des attaques.
Le retour des employés au bureau et une augmentation des investissements dans la cybersécurité sont les moteurs de cette amélioration, mais les entreprises doivent rester vigilantes, et celles qui n'ont pas investi dans leurs protections de sécurité devraient sérieusement envisager de mettre en place une stratégie, que ce soit par le biais d'un in- équipe interne ou en utilisant un MSSP.
Au cours du premier semestre 2021, 1 767 violations ont été signalées publiquement, exposant un total de 18,8 milliards d'enregistrements.
Maintenant, sans plus tarder, allons-y !
T Mobile
Qu'est-il arrivé?
Le 17 août, le géant des télécommunications T-Mobile a fait l'objet d'une cyberattaque qui a compromis les données sensibles de plus de 54 millions de personnes, notamment les numéros de sécurité sociale, les noms, les adresses, les dates de naissance, les numéros de permis de conduire et d'identification, ainsi que les numéros IMEI et IMSI.
T-Mobile a réagi rapidement à la violation, fermant ses serveurs et lançant une enquête à grande échelle.
Comment est-ce arrivé?
Le pirate informatique qui a revendiqué l'attaque, John Binns, 21 ans, a déclaré au Wall Street Journal qu'il avait eu accès à l'infrastructure interne de T-Mobile via un routeur non sécurisé, qualifiant la sécurité de l'entreprise de "terrible".
Qu'avons-nous appris ?
Ce n'est pas la première fois que T-Mobile fait l'objet d'une violation de données, ayant déjà été piraté en 2018, 2019 et 2020 en plus de cette année.
La dernière violation est la cinquième en quatre ans.
Si le récit de Binns sur le piratage d'un routeur non sécurisé est vrai, il ne s'agit que d'un autre exemple d'une entreprise qui ne parvient pas à identifier et à sécuriser correctement tous ses appareils avec une protection des terminaux.
Les organisations doivent s'assurer de surveiller et de provisionner chaque appareil connecté à leur réseau, sinon elles risquent de laisser une porte grande ouverte aux pirates à exploiter comme l'a fait T-Mobile.
SocialArks
Qu'est-il arrivé?
SocialArks est une plate-forme basée en Chine utilisée pour gérer les données et les campagnes des médias sociaux.
En 2021, il a subi une violation massive des données : plus de 300 millions d'enregistrements de comptes de médias sociaux provenant de plateformes telles que Facebook, Instagram et LinkedIn ont été volés.
Un total de 400 Go de données de comptes privés appartenant à plus de 200 millions d'utilisateurs de médias sociaux dans le monde ont été compromis.
Comment est-ce arrivé?
La violation de SocialArks s'est produite parce que la base de données ElasticSearch qu'ils possédaient était mal configurée.
Les données sensibles de la base de données avaient été "supprimées" des sites de médias sociaux et le serveur sur lequel les données étaient hébergées manquait de protocoles de sécurité appropriés, selon les vérifications ultérieures de l'adresse IP.
L'accès au serveur manquait même de protections par mot de passe, ce qui signifie que pratiquement n'importe qui pouvait accéder aux énormes quantités de données personnelles, c'est ainsi qu'elles ont été volées.
Qu'avons-nous appris ?
De nombreuses organisations qui stockent les données des consommateurs le font dans des emplacements non sécurisés.
Du point de vue des consommateurs, ils doivent être extrêmement prudents avec qui ils partagent et autorisent l'accès à leurs informations personnelles.
Pour les entreprises, il est important de reconnaître que la protection des données clients de manière responsable est aujourd'hui essentielle : les gens perdront très rapidement confiance si leurs données non sécurisées sont volées.
Pour cette raison, il est judicieux de s'assurer que les centres de données utilisés sont hautement sécurisés et présentent des niveaux de redondance acceptables, comme les centres de données classés Tier III et Tier IV.
Volkswagen
Qu'est-il arrivé?
Une violation de données chez un fournisseur de Volkswagen a touché plus de 3,3 millions de clients en Amérique du Nord et a été révélée en mai 2021.
Plus de 90 000 clients aux États-Unis et au Canada ont vu des données plus sensibles compromises, y compris des informations sur l'admissibilité au prêt, ainsi que des dossiers de date de naissance et des numéros de sécurité sociale.
Le pirate, identifié par l'alias "000", a écrit qu'il cherchait à vendre le contenu de la base de données pour environ 5 000 dollars.
Comment est-ce arrivé?
Un vendeur de Volkswagen, anonyme par la société, a laissé les données des clients couvrant la période 2014 à 2019 sans protection.
Le vendeur a recueilli des informations sur les clients au nom de Volkswagen pour faciliter ses initiatives de vente et de marketing.
Volkswagen a jusqu'à présent refusé de commenter la manière exacte dont le fournisseur a été piraté, affirmant seulement que c'était parce que "les données électroniques n'étaient pas sécurisées à un moment donné entre août 2019 et mai 2021".
De multiples enquêtes ont depuis été lancées et Volkswagen fait l'objet d'un recours collectif déposé en juin 2021.
Qu'avons-nous appris ?
De nombreuses entreprises externalisent plusieurs aspects de leurs opérations, y compris les services de marketing.
Avant de s'associer à un fournisseur, les organisations doivent être sûres qu'elles protégeront les données qui leur sont confiées, en particulier si elles concernent les informations personnelles identifiables (PII) des clients.
Pour les entreprises qui opèrent dans des secteurs soumis à des réglementations de conformité strictes, comme les soins de santé, elles doivent faire doublement attention à qui elles s'associent pour les services.
Kaseya
Qu'est-il arrivé?
En juillet 2021, la société de logiciels Kaseya a découvert qu'un certain nombre de fournisseurs de services gérés et leurs clients étaient ciblés par des ransomwares affectant la solution de surveillance et de gestion à distance (RMM) de Kaseya.
Kaseya a déclaré qu'entre 800 et 1 500 entreprises utilisant leur logiciel ont été touchées par l'attaque, les pirates exigeant une rançon de 70 millions de dollars pour que les données cryptées soient restituées aux MSP.
Kaseya a répondu en fermant les systèmes avant de fournir aux utilisateurs un outil de détection de compromis, les aidant à déterminer s'ils avaient été affectés.
Ils ont déclaré qu'aucune rançon n'avait été versée aux pirates.
Comment est-ce arrivé?
Les pirates ont utilisé un exploit zero-day pour contourner les protocoles d'authentification et exécuter des commandes arbitraires dans le produit de surveillance à distance VSA de Kaseya.
Cela leur a permis de transmettre des mises à jour contenant des logiciels malveillants aux clients MSP de Kaseya, les infectant avec des ransomwares.
Qu'avons-nous appris ?
Les exploits zero-day, qui consistent à tirer parti de nouvelles vulnérabilités avant qu'elles ne soient corrigées et mises à jour, continuent d'être un problème en matière de cybersécurité.
2021 a été la plus grande année jamais enregistrée pour l'exploitation des vulnérabilités zero-day.
Les attaques zero-day représentent le jeu continu de coup de taupe que les ingénieurs jouent avec les pirates dans le but de prévenir ces vulnérabilités.
Les nouvelles techniques de sécurité, en particulier celles qui utilisent des modèles comportementaux et l'apprentissage automatique pour déterminer les menaces, seront essentielles à l'avenir pour arrêter les attaques zero-day.
Les entreprises qui ne l'ont pas encore fait devraient envisager d'investir dans des technologies de chasse aux menaces pour protéger activement leurs systèmes avec des outils de cybersécurité avancés et proactifs.
Ubiquiti
Qu'est-il arrivé?
Ubiquiti est un fabricant de technologies grand public haut de gamme, notamment des routeurs, des caméras de sécurité et d'autres appareils Internet des objets (IoT), en mettant l'accent sur la sécurité.
En janvier 2021, la société a conseillé aux utilisateurs de réinitialiser leurs mots de passe après avoir subi une violation impliquant un fournisseur de cloud tiers.
Ubiquiti a ensuite déclaré aux clients que les noms, les adresses e-mail, les informations d'identification hachées et les numéros de téléphone avaient été compromis, mais n'a pas précisé le nombre de clients concernés.
L'incident de sécurité de routine apparent a pris une importance considérable lorsqu'un lanceur d'alerte a affirmé fin mars 2021 que l'incident avait été minimisé et qu'il était en fait "catastrophique".
Comment est-ce arrivé?
Plutôt que la faute d'un fournisseur tiers, le lanceur d'alerte a affirmé qu'Ubiquiti hébergeait en réalité les données sur la plate-forme AWS d'Amazon.
Les pirates ont apparemment obtenu un accès administrateur aux bases de données via des informations d'identification LastPass volées.
Après le vol des données, les pirates ont exigé 50 bitcoins (BTC) (environ 2 à 3 millions de dollars) à Ubiquiti, qui ne s'est pas engagé avec eux.
À la suite de la violation et de la communication et de la messagerie confuses aux clients, le cours de l'action d'Ubiquiti a chuté de 25 % et n'a pas encore récupéré.
Qu'avons-nous appris ?
Les contrôles d'accès et les politiques pour les logiciels tiers au sein des organisations doivent être surveillés et maintenus.
Qui a accès à quoi et pourquoi ? C'est une question que les entreprises se posent trop rarement, et cela conduit souvent à une augmentation du nombre de vecteurs d'attaque pour les cybercriminels.
De plus, dans bon nombre de ces cas, l'authentification multifacteur n'était pas utilisée - dans ce cas, un simple mot de passe était requis, auquel les pirates avaient eu accès.
S'ils avaient également été tenus de s'authentifier via le téléphone de l'employé, l'attaque aurait été stoppée net.
Sinon, la violation d'Ubiquiti démontre la nécessité pour les entreprises d'être totalement franches face aux attaques, car les atteintes à la réputation qui peuvent découler d'incidents tels que la publication de dénonciateurs peuvent être dévastatrices : soyez toujours clair et divulguez aux clients exactement ce qu'ils doivent savoir ; ce sont leurs données et ils ne méritent rien de moins.
Conclusion
Nous avons examiné un certain nombre des plus grandes violations de données de 2021.
Comme vous pouvez le voir, les violations de données peuvent se produire en raison d'une grande variété de vecteurs d'attaque, et chacun d'eux est extrêmement dangereux pour les opérations commerciales.
Chacune des violations que nous avons examinées aujourd'hui était évitable, et il existe des solutions qui peuvent mettre une entreprise dans une excellente position pour repousser les attaques.
Les organisations qui ne sont pas certaines de leur profil de cybersécurité devraient envisager de faire réaliser une évaluation des risques afin qu'elles puissent avoir une idée claire des solutions qu'elles doivent mettre en œuvre pour ne pas être victimes comme ces entreprises l'ont fait en 2021.
Si vous avez besoin de cybersécurité mais que vous ne savez pas par où commencer, envisagez de faire réaliser un audit des risques par Impact. Contactez-nous dès aujourd'hui pour vous lancer dans la sécurisation de votre avenir.