Alerte Sécurité : SalesLoft Drift victime d’une fuite de données massive, Shinyhunters et autres groupes pointés du doigt
[Date] – L’entreprise de vente SalesLoft Drift a confirmé avoir été victime d’une violation de données significative, exposant potentiellement des informations sensibles de ses clients. L’incident, qui a débuté fin août, a rapidement attiré l’attention de groupes de hackers notoires, dont shinyhunters, connus pour l’acquisition et la vente de données volées.
Selon des sources proches de l’enquête, la compréhension initiale de l’incident par les acteurs de la cybercriminalité repose principalement sur des informations publiques. Les participants les plus actifs du canal Telegram lié à la fuite, “lapsus 4.0”, ont été les premiers à diffuser des informations sur la compromission.
L’enquête pointe vers une exploitation des jetons d’accès d’utilisateurs légitimes, une technique d’ingénierie sociale sophistiquée que Joshua Wright, directeur technique principal chez Counter Hack, a baptisée “étalement de l’autorisation”. Cette méthode permet aux attaquants de se déplacer discrètement entre les systèmes internes et cloud, en utilisant les privilèges déjà accordés aux utilisateurs compromis.
“Ce type d’attaque est particulièrement insidieux car il ne déclenche souvent pas les alertes de sécurité traditionnelles,” explique Wright. “Les attaquants ne cherchent pas à escalader leurs privilèges ou à contourner les protections, mais à utiliser les ressources auxquelles ils ont déjà accès.”
L’utilisation de plateformes d’identité centralisées avec connexion unique (SSO) et des schémas d’authentification intégrés facilite cette approche.Au lieu de développer des logiciels malveillants complexes, les attaquants exploitent les fonctionnalités existantes pour accéder aux données.
SalesLoft Drift a engagé Mandiant, la division de réponse aux incidents de Google Cloud, pour mener une enquête approfondie sur les causes profondes de la violation. Charles carmakal, CTO de Mandiant Consulting, a déclaré que l’enquête est en cours et que des informations supplémentaires seront publiées dans les jours à venir.
comprendre le risque : L’étalement de l’autorisation et la sécurité des accès
Cet incident met en lumière une vulnérabilité croissante dans les architectures de sécurité modernes : l’étalement de l’autorisation. Avec l’adoption généralisée de la connexion unique et des systèmes d’accès basés sur les rôles, il est crucial pour les entreprises de surveiller attentivement les privilèges accordés aux utilisateurs et de mettre en œuvre des contrôles d’accès stricts.
Mesures de prévention pour les entreprises et les utilisateurs :
Authentification multi-facteurs (MFA) : Activez MFA sur tous les comptes critiques pour ajouter une couche de sécurité supplémentaire.
Gestion des privilèges d’accès (PAM) : Mettez en œuvre une solution PAM pour contrôler et surveiller l’accès aux ressources sensibles.
Formation à la sensibilisation à la sécurité : formez régulièrement les employés aux techniques d’ingénierie sociale et aux bonnes pratiques de sécurité.
Surveillance continue : Surveillez en permanence les journaux d’activité et les alertes de sécurité pour détecter les comportements suspects.
* Rotation régulière des jetons d’accès : Changez régulièrement les jetons d’accès pour limiter la fenêtre d’opportunité pour les attaquants.
L’incident SalesLoft Drift sert de rappel brutal de la nécessité d’une approche proactive de la sécurité, axée sur la protection des accès et la surveillance continue des menaces. Les entreprises doivent évaluer leurs propres vulnérabilités et mettre en œuvre des mesures de sécurité robustes pour se protéger contre les attaques de plus en plus sophistiquées.
