Violation de données de Fractal ID attribuée à un piratage de 2022 d'un employé ayant réutilisé un mot de passe

La startup d'identité décentralisée et fournisseur de vérification Know-Your-Consumer (KYC) Fractal ID a publié un rapport post-mortem détaillant la violation de données que l'entreprise a subie le 14 juillet. La société a déclaré que les données violées "peuvent inclure des noms, adresses e-mail ou numéros de téléphone, adresses de portefeuille, adresses physiques, images et photos de tout document téléchargé" d'environ 6 300 utilisateurs, soit 0,5 % des utilisateurs de la base de données de Fractal ID. 

Fractal ID, basé à Berlin, fournit une assistance en matière de conformité pour au moins huit protocoles crypto, dont Polygon, Ripple et Near, et compte plus de 250 entreprises parmi ses clients, selon son site web . 

L'acteur de la menace a accédé au système via le compte compromis d'un employé. Comme l'employé avait un accès de niveau administrateur au système, le pirate a pu "contourner" les systèmes internes de confidentialité des données, déclare l'entreprise, avant qu'un système automatisé ne notifie un ingénieur et lui permette de bloquer l'attaquant 29 minutes après le début de l'attaque. 

L'entreprise a noté qu'une partie ayant revendiqué la responsabilité de l'attaque a demandé une rançon à l'entreprise, mais celle-ci a refusé de s'engager et a plutôt contacté les forces de l'ordre de la cybercriminalité de Berlin. L'entreprise a également contacté les utilisateurs affectés, selon son rapport post-mortem. L'entreprise a décrit plusieurs mesures qu'elle prévoit de prendre pour se défendre contre les attaques à l'avenir, notamment en restreignant les comptes ayant accès aux données sensibles et en bloquant les demandes de connexion provenant d'adresses IP inconnues. 

Le piratage initial remonte à 2022

La machine de l'employé a été initialement compromise dès septembre 2022, selon les chercheurs de la société de renseignement sur la cybercriminalité Hudson Rock. La machine a été infectée par le Raccoon 'infostealer', un Malware-as-a-Service couramment disponible, observé pour la première fois en avril 2019.

"Bien que l'ordinateur ait été infecté en 2022, il semble que la victime n'ait pas changé son mot de passe, permettant aux pirates d'infiltrer un compte et de lancer le piratage", ont écrit les chercheurs. 

"L'opérateur n'a pas suivi nos politiques et formations en matière d'opsec. Nous avons mis en place des mesures techniques pour garantir que celles-ci ne puissent pas être contournées par des opérateurs à l'avenir. Cela n'était pas dû à une vulnérabilité logicielle", a noté Fractal ID dans son rapport post-mortem. 

Le ministère américain de la Justice a inculpé en 2022 un Ukrainien de 26 ans, Mark Sokolovsky, pour complot visant à exploiter Raccoon Infostealer, qui aurait été loué à des pirates potentiels pour aussi peu que 200 $ par mois en cryptomonnaie. Le FBI a pu identifier "plus de 50 millions d'identifiants uniques et de formes d'identification (adresses e-mail, comptes bancaires, adresses de cryptomonnaie, numéros de cartes de crédit, etc.) dans les données volées provenant de ce qui semble être des millions de victimes potentielles dans le monde entier", bien que l'agence ait reconnu que ce nombre est probablement sous-estimé. 

Après avoir échoué à simuler sa mort suite à l'invasion russe de l'Ukraine, Sokolovsky a été extradé vers les États-Unis en février dernier. Le gouvernement américain a également mis en place un site web où les utilisateurs peuvent vérifier si leurs identifiants ont été compromis.