PORTÉE DU HACK
STT GDC et GDS comptent parmi les plus grands opérateurs de centres de données en Asie.
Ils louent de l’espace dans leurs centres de données à des clients qui installent et gèrent leur propre équipement informatique, généralement pour se rapprocher des clients et des opérations commerciales en Asie. GDS fait partie des trois principaux fournisseurs de colocation en Chine, le deuxième plus grand marché pour le service au monde après les États-Unis, selon Synergy Research Group. Singapour se classe sixième.
Singapore Technologies Telemedia, la société mère de STT GDC, a également détient une participation de 40 % dans GDS.
Les informations volées aux entreprises auraient pu permettre aux pirates de se faire passer pour des utilisateurs autorisés sur les sites Web du service client, a déclaré Resecurity.
Environ 2 000 clients de STT GDC et GDS ont été touchés, dont certaines des plus grandes entreprises mondiales, selon Resecurity et Bloomberg.
Les pirates ont eu accès aux identifiants de connexion pendant plus d’un an avant de les mettre en vente sur le dark web en janvier 2023, affirmant qu’ils étaient submergés par leur volume, selon Resecurity et une capture d’écran de la publication examinée par Bloomberg.
Resecurity a déclaré avoir découvert les caches de données en septembre 2021 et trouvé des preuves que les pirates les utilisaient pour accéder aux comptes des clients STT GDC et GDS aussi récemment qu’en janvier, lorsque les deux opérateurs de centres de données ont forcé la réinitialisation des mots de passe des clients.
STT GDC a déclaré que des mesures supplémentaires, notamment l’authentification à deux facteurs, la réinitialisation des mots de passe et le renforcement de la sécurité, ont été prises par précaution.
“S’il y a eu un accès non autorisé à ces autres portails clients, un tel accès n’est plus possible”, a déclaré la firme.
“Nos centres de données et nos services restent pleinement opérationnels et sécurisés. Les prétendues menaces de cybersécurité sur nos portails de service client n’ont en aucune façon affecté le fonctionnement de nos centres de données.
“Dans tous les cas, notre infrastructure critique et les systèmes de surveillance associés sont complètement séparés de toutes ces applications de service client.”
Même sans mots de passe valides, les données permettent toujours aux pirates de créer des e-mails de phishing ciblés contre des personnes ayant un accès de haut niveau aux réseaux de leur entreprise, selon Resecurity.
STT GDC a déclaré qu’elle ne pouvait pas commenter ses clients concernés, en raison des dispositions de confidentialité existantes.
“MESURES IMMÉDIATES” PRISES
STT GDC a déclaré qu’en septembre 2021, il avait été informé qu'”une prétendue liste d’informations d’identification d’utilisateur pour l’un de nos systèmes informatiques” avait été diffusée sur le dark web.
“Des mesures immédiates” ont été prises, a déclaré le cabinet, notamment en menant des enquêtes internes et en faisant appel à des fournisseurs externes de cybersécurité.
“Aucun accès non autorisé ou perte de données relatives à ce système informatique n’a été observé, et l’application reste sécurisée à ce jour”, a déclaré STT GDC, ajoutant que le système informatique en question était un outil de billetterie de service client tiers hébergé dans le cloud, sans connexion à ses autres systèmes d’entreprise ou à toute infrastructure de centre de données critique.
Ces applications sont utilisées par les clients pour initier des demandes de service telles que la réservation d’une livraison ou la demande d’une interconnexion.
“De par leur conception, ces portails de service client n’ont aucune connexion avec nos centres de données opérationnels, ne sont pas considérés comme critiques pour l’entreprise et ne contiennent aucune donnée ou information personnelle.”
UN « ÉVÉNEMENT ISOLÉ » : GDS
À la suite du piratage, les pirates ont également volé les informations d’identification du réseau GDS de plus de 30 000 caméras de surveillance, dont la plupart reposaient sur des mots de passe simples tels que « admin » ou « admin12345 », a déclaré Bloomberg.
Interrogé sur l’affirmation selon laquelle les pirates accédaient encore aux comptes en janvier en utilisant les informations d’identification volées, un représentant de GDS a déclaré à Bloomberg : “Récemment, nous avons détecté plusieurs nouvelles attaques de pirates utilisant les anciennes informations d’accès au compte. Nous avons utilisé divers outils techniques pour bloquer ces attaques. Jusqu’à présent, nous n’avons trouvé aucune nouvelle intrusion réussie de la part de pirates informatiques due à la vulnérabilité de notre système. »
“Comme nous le savons, un seul client n’a pas réinitialisé l’un de ses mots de passe de compte sur cette application qui appartenait à un de ses anciens employés. C’est la raison pour laquelle nous avons récemment forcé une réinitialisation du mot de passe pour tous les utilisateurs. Nous pensons qu’il s’agit d’un événement isolé. Ce n’est pas le résultat de pirates informatiques qui ont pénétré notre système de sécurité”, a déclaré le porte-parole du GDS.
Après la réinitialisation forcée des mots de passe de STT GDC et GDS pour les clients en janvier 2023, Resecurity a découvert que les pirates mettaient les bases de données en vente sur un forum Web sombre, en anglais et en chinois.
