Sécurité : Un attaquant a été détecté après avoir créé un fichier d’archive géant occupant tout l’espace disque disponible. Il était resté dans le réseau de l’entreprise pendant près de deux ans sans être détecté.
Par Catalin Cimpanu | Jeudi 14 Novembre 2019
Une société informatique basée en Utah a découvert qu’elle n’avait été piratée qu’après avoir reçu une alerte indiquant que l’un de ses serveurs manquait d’espace disque libre.
Le piratage visait la société InfoTrax Systems, une société américaine basée à Orem, dans l’Utah, qui fournit des applications hébergées à des spécialistes du marketing multiniveau (MLM).
Les entreprises louent l’accès sur les serveurs InfoTrax afin de pouvoir gérer les opérations MLM et stockent des données sur les clients et les employés à l’aide des applications InfoTrax. En 2016, la société a annoncé une fuite de sécurité au cours de laquelle un pirate informatique a volé les informations personnelles d’environ un million d’utilisateurs. Après avoir appris que la société n’avait pas réussi à sécuriser ses serveurs, la Commission fédérale du commerce (FTC) a ouvert une enquête sur le piratage.
Selon une plainte déposée par la FTC à ce moment-là, le pirate informatique aurait exploité une vulnérabilité des sites Web d’InfoTrax pour télécharger un code malveillant permettant de contrôler à distance le site Web de l’entreprise et l’infrastructure du serveur adjacent.
Selon la FTC, le pirate informatique a maintenu l’accès aux serveurs d’InfoTrax pendant près de deux ans, entre mai 2014 et mars 2016, période au cours de laquelle il a accédé au réseau de la société à au moins 17 reprises.
Détection défaillante
InfoTrax n’a pas détecté ces intrusions. La FTC a déclaré que la société ne disposait pas de systèmes de sécurité adéquats pour détecter les accès non autorisés et les modifications de fichiers. Il a toutefois été averti que quelque chose n’allait pas lorsqu’un de ses serveurs s’est révélé être à court d’espace disque, le 7 mars 2016.
Une enquête ultérieure a révélé que le pirate informatique - tout en collectant des données à partir des serveurs d’InfoTrax - avait créé “une archive des données tellement volumineuse que le disque a manqué d’espace”, a déclaré la FTC.
Au total, le pirate informatique a enregistré environ un million d’enregistrements d’utilisateurs provenant de plusieurs clients d’InfoTrax, sur les 11,8 millions d’informations de l’entreprise stockées sur ses serveurs à l’époque.
Le vol a été facilité par le fait qu’InfoTrax stockait les données des clients en clair. Les informations volées incluent les numéros de sécurité sociale, les informations de carte de paiement, les informations de compte bancaire, ainsi que les noms d’utilisateur et mots de passe.
Cette semaine, la FTC et InfoTrax ont convenu d’un accord selon lequel la société basée en Utah appliquerait de nouvelles mesures de sécurité. Le règlement oblige InfoTrax à:
-
inventorier et supprimer les informations personnelles dont il n’a plus besoin;
-
procéder à l’examen du code de son logiciel et à la mise à l’essai de son réseau;
-
détecter les envois de fichiers malveillants; segmenter adéquatement son réseau;
-
mettre en œuvre des outils de cybersécurité afin de détecter les activités inhabituelles sur son réseau.
Dans un communiqué de presse publié à la suite de l’annonce du règlement de la FTC, InfoTrax a déclaré avoir déjà mis en œuvre bon nombre de ces mesures de sécurité, même avant la décision de la FTC.
Source : Zdnet.com