Un homme soupçonné d'être à l'origine d'une série de cyberattaques contre des entreprises serait en détention au Canada. Comme l'a rapporté Bloomberg lundi, Alexander "Connor" Moucka, 26 ans, a été arrêté le 30 octobre par les autorités à la demande des États-Unis en vertu d'un mandat d'arrêt provisoire. Les piratages visaient les clients professionnels de Snowflake, un partenaire de données en nuage d'AT&T, Live Nation et d'autres.
Les piratages ont visé plus de 100 organisations et ont entraîné le vol de millions de données personnelles d'utilisateurs. Outre AT&T et Ticketmaster, Lending Tree, Advance Auto Parts et Neiman Marcus ont également été touchés. AT&T a refusé de commenter le rapport. Nous avons également contacté Live Nation, mais n'avons pas reçu de réponse. (Nous mettrons à jour ce rapport dès que nous aurons des nouvelles).
Krebs on Security a rapporté mardi que Moucka est cité dans plusieurs actes d'accusation scellés de procureurs américains et d'agences fédérales. Le suspect aurait volé des identifiants de connexion volés sur des forums de cybercriminels (et autres lieux similaires) et aurait parié sur le fait que les clients réutiliseraient les mêmes identifiants ailleurs. Il aurait ensuite utilisé ces identifiants pour accéder aux comptes des clients de Snowflake et les aurait fait chanter en les menaçant de vendre les données sur des forums criminels s'ils ne payaient pas. AT&T aurait versé au pirate une rançon de 370 000 dollars pour la suppression des enregistrements de données.
Selon Krebs, les noms en ligne utilisés par Moucka correspondaient à ceux d'un "cybercriminel prolifique", situé à l'intersection entre "les cybercriminels occidentaux anglophones et les groupes extrémistes qui harcèlent et font chanter les mineurs pour qu'ils se fassent du mal ou fassent du mal à d'autres". Selon le rapport, Moucka était membre d'un groupe de pirates informatiques appelé "UNC5537", qui comprenait également un Américain "insaisissable" du nom de John Erin Binns, qui se trouve actuellement en Turquie. Binns était à l'origine d'un piratage de T-Mobile en 2021, qui a touché au moins 76,6 millions de clients.
Snowflake a reproché à ses clients professionnels de ne pas avoir mis en place d'authentification à facteurs multiples. "Nous sommes confrontés à un défi majeur dans la communauté de la sécurité et dans les entreprises, car de nombreuses personnes ne maîtrisent pas les bases", a déclaré Brad Jones, responsable de la sécurité de l'information chez Snowflake, à Bloomberg. Mais l'échec apparent de Snowflake à imposer une sécurité à deux facteurs est à la hauteur de la décision de ses clients de ne pas le faire - d'autant plus que des millions de données clients sont en jeu.
Pourquoi AT&T et d'autres entreprises ont-elles confié autant de données clients à Snowflake ? L'opérateur de téléphonie mobile n'a fait aucun commentaire à ce sujet. Snowflake propose des analyses de données basées sur le cloud. En juillet, AT&T a annoncé que "presque tous" ses clients avaient été touchés par le piratage, ce qui laisse supposer que presque tous les abonnés ont fait analyser leurs données par un partenaire cloud de leur opérateur de téléphonie mobile. Au total, 110 millions de clients d'AT&T seraient concernés.
Heureusement, AT&T a indiqué que l'attaque n'incluait pas le contenu des appels ou des messages texte. Cependant, les numéros de téléphone avec lesquels chaque compte a interagi ont été affectés, ainsi qu'une liste des appels, des messages texte et de la durée des appels de chaque client. Les identifiants de localisation des cellules radio étaient également concernés. L'expert en cybersécurité Javvad Malik a expliqué cet été à Engadget que ces dernières "pouvaient permettre de trianguler la localisation des utilisateurs".
