Nouvelles Du Monde

Gemini, les violations de données d’Uber montrent que le risque de tiers ne peut être ignoré

Gemini, les violations de données d’Uber montrent que le risque de tiers ne peut être ignoré

Découvrez toutes les sessions à la demande du Sommet sur la sécurité intelligente ici.


Le risque tiers est l’une des menaces les plus négligées dans la sécurité des entreprises. Les recherches montrent qu’au cours des 12 derniers mois, 54 % des organisations ont subi des violations de données par des tiers. Cette semaine seulement, les deux Uber et échange de crypto-monnaie Gémeaux ont été ajoutés à cette liste.

Plus récemment, Gemini a subi une violation de données après que des pirates ont pénétré dans les systèmes d’un fournisseur tiers et ont eu accès à 5,7 millions d’e-mails et à des numéros de téléphone partiellement obscurcis.

Dans un article de blog réfléchissant à la violation, Gemini a reconnu que bien qu’aucune information de compte ou aucun système n’ait été affecté en conséquence, certains clients peuvent avoir été ciblés par des campagnes de phishing à la suite de la violation.

Alors que les informations exposées dans la violation de Gemini se limitent aux e-mails et aux numéros de téléphone partiels, le piratage souligne que le ciblage de fournisseurs tiers est un moyen fiable pour les acteurs de la menace de collecter des informations à utiliser dans les escroqueries par ingénierie sociale et autres attaques.

Pourquoi les tiers sont une cible facile pour les violations de données

Dans le cas de la violation d’Uber, les pirates ont d’abord eu accès à Teqtivité systèmes internes et un serveur AWS, avant d’exfiltrer et de divulguer les informations de compte et les informations personnelles identifiables (PII) d’environ 77 000 employés d’Uber.

Bien que les violations d’Uber et de Gemini soient des incidents distincts, les deux organisations ont dû ramasser les morceaux et contrôler les dégâts après l’échec des protections de sécurité d’un fournisseur tiers.

« Dans l’ensemble, les adresses e-mail perdues ne sont pas les pires éléments de données à utiliser ; cependant, c’est un rappel brutal que les entreprises vont toujours subir des coups durs pour les violations qui (prétendument) se produisent avec leurs fournisseurs tiers », a déclaré Netenrich le principal chasseur de menaces John Bambenek.

Lorsque l’on considère ces incidents dans le cadre de la tendance plus large des violations par des tiers, il semble que les acteurs de la menace sont bien conscients que les fournisseurs tiers sont un point d’entrée relativement simple vers les systèmes des organisations en aval.

Après tout, une organisation doit non seulement faire confiance aux mesures de sécurité de ses fournisseurs informatiques et céder le contrôle de ses données, mais elle doit également être sûre que les fournisseurs signaleront les incidents de cybersécurité lorsqu’ils se produiront.

Malheureusement, de nombreuses organisations travaillent avec des fournisseurs tiers auxquels elles ne font pas entièrement confiance, avec seulement 39 % des entreprises convaincues qu’un tiers notifier si une violation de données provenait de leur entreprise.

Lire aussi  MWC 2023 : L'histoire du smartphone a été racontée

Les risques de fuites d’e-mails : l’ingénierie sociale

Bien que les adresses e-mail ne soient pas aussi dommageables lorsqu’elles sont publiées que les mots de passe ou la propriété intellectuelle, elles fournissent aux cybercriminels suffisamment d’informations pour commencer à cibler les utilisateurs avec des escroqueries d’ingénierie sociale et des e-mails de phishing.

“Alors que ce cas spécifique [the Gemini breach] implique un échange de crypto-monnaie, la conclusion est celle d’un problème beaucoup plus général [with] les acteurs de la menace obtiennent des informations cibles (e-mails, numéros de téléphone) et un certain contexte sur ces informations (ils utilisent tous un service spécifique) pour les rendre pertinentes », a déclaré Mike Parkin, ingénieur technique senior chez le fournisseur de solutions de résolution des risques informatiques. Vulcain Cyber.

“Les e-mails aléatoires conviennent si vous lancez des escroqueries au Nigerian Prince, mais pour lancer des attaques plus ciblées sur les réseaux sociaux qui ciblent une organisation ou une communauté d’utilisateurs spécifique, avoir ce contexte est de l’or pour les acteurs de la menace”, a déclaré Parkin.

À l’avenir, les fraudeurs pourront utiliser ces adresses e-mail pour élaborer des campagnes de phishing très ciblées et des escroqueries cryptographiques pour tenter d’inciter les utilisateurs à se connecter à de faux sites d’échange ou à transmettre d’autres informations sensibles.

La réponse : Atténuation des risques tiers

L’une des façons dont les organisations peuvent commencer à atténuer les risques liés aux tiers consiste à examiner les relations avec les fournisseurs et à évaluer l’impact qu’elles ont sur la posture de sécurité de l’organisation.

Lire aussi  CallTower innove : Operator Connect pour Microsoft

“Les organisations doivent comprendre où elles pourraient être exposées aux risques liés aux fournisseurs et mettre en place des politiques cohérentes pour réévaluer ces relations”, a déclaré Bryan Murphy, directeur principal des services de conseil et de la réponse aux incidents chez CyberArk.

À un niveau fondamental, les entreprises doivent commencer à considérer les fournisseurs tiers comme une extension de leur activité et s’en approprier afin que les protections nécessaires soient en place pour sécuriser les actifs de données.

Pour Bambenek, la manière la plus pratique pour les CISO d’y parvenir est d’intégrer la sécurité au niveau du contrat.

« Les RSSI doivent s’assurer qu’au moins leurs contrats sont documentés pour imposer des exigences de sécurité raisonnables et ils ont utilisé des outils de surveillance des risques tiers pour évaluer la conformité. Plus les données sont sensibles, plus les exigences et la surveillance doivent être strictes », a déclaré Bambenek.

Bien que ces mesures n’éliminent pas entièrement les risques de travailler avec un tiers, elles offriront aux organisations des protections supplémentaires et souligneront qu’elles ont fait preuve de diligence raisonnable dans la protection des données des clients.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. Découvrez nos Briefings.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT