Fuite de données chez Salesforce : plus de 22 000 agents fédéraux américains exposés
Des dizaines de milliers d’agents fédéraux américains voient leurs informations personnelles compromises après une série de violations liées à des données clients volées sur la plateforme CRM Salesforce. Le collectif de hackers Scattered LAPSUS$ Hunters a constitué des dossiers détaillés sur plus de 22 000 employés gouvernementaux en exploitant ces informations.
Agences concernées
Les fichiers récupérés par les hackers concernent plusieurs agences américaines, parmi lesquelles :
- NSA (National Security Agency)
- DIA (Defense Intelligence Agency)
- Commission Fédérale du Commerce (FTC)
- Administration Fédérale de l’Aviation (FAA)
- Centres pour le Contrôle et la Prévention des Maladies (CDC)
- Bureau de l’Alcool, du Tabac, des Armes à Feu et des Explosifs (ATF)
- Plusieurs membres de l’US Air Force
- Département de la Sécurité Intérieure (DHS), Immigration and Customs Enforcement (ICE), FBI et Département de la Justice (DOJ)
Methode et ampleur de l’attaque
Selon les informations disponibles, le collectif a piégé des employés de sociétés clientes de Salesforce en les invitant à se connecter sur une version frauduleuse de l’application. Cette technique d’hameconnage a permis aux attaquants d’accéder aux bases de données clients et de voler plus d’un milliard d’enregistrements affectant des entreprises comme Disney/Hulu, FedEx, Toyota et UPS.
Les hackers ont ensuite tenté d’extorquer Salesforce en menaçant de rendre publiques ces données. Bloomberg indique que Salesforce a refusé de payer la rancon demandee.
Identité du collectif et vérification
Le groupe Scattered LAPSUS$ Hunters regroupe des membres issus de trois collectifs connus: Scattered Spider, LAPSUS$ et ShinyHunters. Un membre a transmis des echantillons de fichiers au media 404 Media; ces echantillons ont pu etre corroborés avec des donnees provenant d’incidents precedents analysees par la societe de cybersécurite District 4 Labs. Pour prouver son affiliation, l’un des auteurs a fourni un message signe avec la cle PGP associee a ShinyHunters.
Repercussions et suite
Le collectif a publie des noms et informations personnelles de plusieurs centaines d’agents du DHS, de l’ICE, du FBI et du DOJ, certains dossiers contenant meme des adresses residencielles. Ces publications ont ete accompagnees de messages provocateurs. Suite a la diffusion de donnees concernant un agent de la NSA, le canal Telegram du collectif a ete ferme; un membre affirme que le serveur aurait ete mis hors ligne et possiblement saisi par les autorites.
Vendredi, le groupe a annonce avoir abandonne ses tentatives d’extorsion contre Salesforce, tout en continuant a compiler des informations sur des fonctionnaires americains.
Reponse attendue des autorites
Face a cette situation, les services federaux americains doivent now gere une fuite d’ampleur inedite. Il est probable que la NSA ait lance une enquete interne pour mesurer l’ampleur de la compromission et coordonner un partage d’informations avec d’autres agences et partenaires prives en vue d’une reponse conjointe.
Les investigations en cours devraient preciser comment les donnees clients de Salesforce ont ete exploitees et quelles mesures sont necessaires pour proteger les fonctionnaires et limiter les risques de nouvelles publications.
