Dans un épisode qui souligne la vulnérabilité des réseaux informatiques mondiaux, des pirates ont mis la main sur des identifiants de connexion pour des centres de données en Asie utilisés par certaines des plus grandes entreprises du monde, une aubaine potentielle pour l’espionnage ou le sabotage, selon une société de recherche en cybersécurité.
Les caches de données précédemment non signalés impliquent des e-mails et des mots de passe pour les sites Web d’assistance à la clientèle de deux des plus grands opérateurs de centres de données en Asie : GDS Holdings et les ST Telemedia Global Data Centers basés à Singapour , selon Resecurity Inc., qui fournit des services de cybersécurité et enquête sur les pirates. Environ 2 000 clients de GDS et STT GDC ont été concernés. Les pirates se sont connectés aux comptes d’au moins cinq d’entre eux, dont la principale plate-forme chinoise de change et de négociation de dettes et quatre autres en Inde, selon Resecurity, qui a déclaré avoir infiltré le groupe de piratage.
Ce n’est pas clair ce que-le cas échéant-les pirates ont fait avec les autres connexions. Les informations comprenaient des informations d’identification en nombre variable pour certaines des plus grandes entreprises du monde, notamment Alibaba Group Holding, Amazon.com, Apple, BMW AG, Goldman Sachs Group, Huawei Technologies, Microsoft et Walmart, selon la société de sécurité et des centaines de pages. des documents que Bloomberg a examinés.
Répondant aux questions sur les conclusions de Resecurity, GDS a déclaré dans un communiqué qu’un site Web d’assistance à la clientèle avait été piraté en 2021. On ne sait pas comment les pirates ont obtenu les données STT GDC. Cette société a déclaré qu’elle n’avait trouvé aucune preuve que son portail de service client avait été compromis cette année-là. Les deux sociétés ont déclaré que les informations d’identification frauduleuses ne présentaient aucun risque pour les systèmes informatiques ou les données des clients.
Cependant, Resecurity et les dirigeants de quatre grandes entreprises basées aux États-Unis qui ont été touchées ont déclaré que les informations d’identification volées représentaient une situation inhabituelle et danger sérieux, principalement parce que le site Web d’assistance à la clientèle contrôle qui est autorisé à accéder physiquement à l’équipement informatique hébergé dans les centres de données. Ces dirigeants, qui ont appris les incidents par Bloomberg News et ont corroboré les informations avec leurs équipes de sécurité, ont demandé à ne pas être identifiés car ils n’étaient pas autorisés à parler publiquement de la question.
L’ampleur des données rapportée par Resecurity met en évidence le risque croissant auquel les entreprises sont confrontées en raison de leur dépendance vis-à-vis de tiers pour héberger des données et des équipements informatiques et aider leurs réseaux à atteindre les marchés mondiaux. Les experts en sécurité affirment que le problème est particulièrement aigu en Chine, qui oblige les entreprises à s’associer à des fournisseurs de services de données locaux.
“C’est un cauchemar qui attend”, a déclaré Michael Henry, ancien directeur de l’information pour Digital Realty. Trust, l’un des plus grands opérateurs de centres de données américains, informé des incidents par Bloomberg. (Digital Realty Trust n’a pas été affecté par les incidents). Le pire scénario pour tout opérateur de centre de données est que les attaquants obtiennent d’une manière ou d’une autre un accès physique aux serveurs des clients et installent du code malveillant ou des équipements supplémentaires, a déclaré Henry.”S’ils peuvent y parvenir, ils peuvent potentiellement perturber les communications et le commerce à grande échelle.”
GDS et STT GDC ont déclaré qu’ils n’avaient aucune indication que quelque chose comme ça s’était produit et que leurs services de base n’étaient pas impacté.
Les pirates ont eu accès aux identifiants de connexion pendant plus d’un an avant de les mettre en vente sur le dark web le mois dernier, pour 175 000 $ (près de Rs. 1,45 crore), affirmant qu’ils étaient submergés par le volume de celui-ci, selon Resecurity et une capture d’écran de la publication examinée par Bloomberg.
“J’ai utilisé certaines cibles”, ont déclaré les pirates dans le message.”Mais incapable de gérer car le nombre total d’entreprises dépasse les 2 000.”
Les adresses e-mail et les mots de passe auraient pu permettre aux pirates de se faire passer pour des utilisateurs autorisés sur les sites Web du service client, selon Resecurity. La société de sécurité a découvert les caches de données en septembre 2021 et a déclaré avoir également trouvé des preuves que les pirates les utilisaient pour accéder aux comptes des clients GDS et STT GDC pas plus tard qu’en janvier, lorsque les deux opérateurs de centres de données ont forcé la réinitialisation des mots de passe des clients, selon Resecurity./p>
Même sans mots de passe valides, les données seraient toujours précieuses, permettant aux pirates de créer des e-mails de phishing ciblés contre des personnes disposant d’un accès de haut niveau aux réseaux de leur entreprise, selon Resecurity.
La plupart des entreprises concernées contactées par Bloomberg News, dont Alibaba, Amazon, Huawei et Walmart, ont refusé de commenter. Apple n’a pas répondu aux messages sollicitant des commentaires.
Dans un communiqué, Microsoft a déclaré :”Nous surveillons régulièrement les menaces susceptibles d’affecter Microsoft et lorsque des menaces potentielles sont identifiées, nous prenons les mesures appropriées pour protéger Microsoft et nos clients..” Un porte-parole de Goldman Sachs a déclaré :”Nous avons mis en place des contrôles supplémentaires pour nous protéger contre ce type de violation et nous sommes convaincus que nos données ne sont pas en danger.”
Le constructeur automobile BMW a déclaré qu’il était au courant de la problème. Mais un porte-parole de la société a déclaré:”Après évaluation, le problème a un impact très limité sur les activités de BMW et n’a causé aucun dommage aux clients BMW et aux informations relatives aux produits.”Le porte-parole a ajouté :”BMW a exhorté GDS à améliorer le niveau de sécurité des informations.”
GDS et STT GDC sont deux des plus grands fournisseurs asiatiques de services de”colocation”. Ils agissent en tant que propriétaires, louant de l’espace dans leurs centres de données à des clients qui y installent et gèrent leur propre équipement informatique, généralement pour être plus proches des clients et des opérations commerciales en Asie. GDS fait partie des trois principaux fournisseurs de colocation en Chine, le deuxième plus grand marché pour le service au monde après les États-Unis, selon Synergy Research Group, Singapour se classe sixième.
Les entreprises sont également entrelacés : un document d’entreprise montre qu’en 2014, Singapore Technologies Telemedia Pte, la société mère de STT GDC, a acquis une participation de 40 % dans GDS.
Resecurity Chief Executive Officer Gene Yoo a déclaré que son entreprise avait découvert les incidents en 2021 après qu’un de ses agents s’était infiltré pour infiltrer un groupe de piratage en Chine qui avait attaqué des cibles gouvernementales à Taïwan.
Peu de temps après, il a alerté GDS et STT GDC et un petit nombre de clients Resecurity qui ont été impactés, selon Yoo et les documents.
Resecurity a de nouveau notifié GDS et STT GDC en janvier après avoir découvert les pirates accédant aux comptes, et la société de sécurité a également alerté les autorités en Chine et à Singapour à ce moment-là, selon Yoo et les documents.
Les deux opérateurs de centres de données ont déclaré avoir réagi rapidement lorsqu’ils ont été informés des problèmes de sécurité et ont lancé des enquêtes internes.
Cheryl Lee, porte-parole de Cyber Security Agency of Singapore, a déclaré que l’agence”est au courant de l’incident et aide ST Telemedia à ce sujet”. L’équipe technique nationale d’intervention d’urgence du réseau informatique/centre de coordination de Chine, un organisation non gouvernementale qui gère les réponses aux cyber-urgences, n’a pas répondu aux messages sollicitant des commentaires.
GDS a reconnu qu’un site Web d’assistance à la clientèle avait été piraté et a déclaré qu’il avait enquêté et corrigé une vulnérabilité sur le site en 2021.
“L’application qui a été ciblée par les pirates est limitée dans sa portée et ses informations à des fonctions de service non critiques, telles que la création de demandes de billetterie, la planification de la livraison physique d’équipements et l’examen des rapports de maintenance”, selon une entreprise déclaration.”Les demandes effectuées via l’application nécessitent généralement un suivi et une confirmation hors ligne. Compte tenu de la nature basique de l’application, la violation n’a entraîné aucune menace pour les opérations informatiques de nos clients.”
STT GDC a déclaré avoir fait appel à des experts externes en cybersécurité lorsqu’il a appris l’incident en 2021.”Le système informatique en question est un outil de billetterie de service client » et « n’a aucune connexion avec d’autres systèmes d’entreprise ni aucune infrastructure de données critiques », a déclaré la société.
La société a déclaré que son portail de service client n’avait pas été piraté. en 2021 et que les informations d’identification obtenues par Resecurity sont”une liste partielle et obsolète d’informations d’identification des utilisateurs pour nos applications de billetterie client. Toutes ces données sont désormais invalides et ne présentent aucun risque pour la sécurité à l’avenir. »
« Aucun accès non autorisé ou perte de données n’a été observé », selon la déclaration de STT GDC.
Indépendamment de comment les pirates ont pu utiliser les informations, les experts en cybersécurité ont déclaré que les vols montrent que les attaquants explorent de nouvelles façons d’infiltrer des cibles difficiles.
La sécurité physique de l’équipement informatique dans les centres de données tiers et les systèmes de contrôle l’accès à celui-ci représente des vulnérabilités qui sont souvent négligées par les services de sécurité des entreprises, a déclaré Malcolm Harkins, ancien chef de l’offre de sécurité et de confidentialité d’Intel. Toute altération de l’équipement du centre de données”pourrait avoir des conséquences dévastatrices”, a déclaré Harkins.
Les pirates ont obtenu les adresses e-mail et les mots de passe de plus de 3 000 personnes chez GDS, y compris ses propres employés et ceux de ses clients, et plus encore. plus de 1 000 de STT GDC, selon les documents examinés par Bloomberg News.
Les pirates ont également volé les informations d’identification du réseau GDS de plus de 30 000 caméras de surveillance, dont la plupart reposaient sur des mots de passe simples tels que”admin”ou”admin12345″, indiquent les documents. GDS n’a pas répondu à une question sur le vol présumé d’informations d’identification sur le réseau de caméras, ou sur les mots de passe.
Le nombre d’informations d’identification de connexion pour les sites Web d’assistance à la clientèle variait selon les différents clients. Par exemple, il y avait 201 comptes chez Alibaba, 99 chez Amazon, 32 chez Microsoft, 16 chez Baidu, 15 chez Bank of America, sept chez Bank of China, quatre chez Apple et trois chez Goldman, selon les documents. Yoo de Resecurity a déclaré que les pirates n’avaient besoin que d’une adresse e-mail et d’un mot de passe valides pour accéder au compte d’une entreprise sur le portail du service client.
Parmi les autres entreprises dont les informations de connexion des travailleurs ont été obtenues, selon Resecurity et les documents, étaient : Bharti Airtel en Inde, Bloomberg LP (propriétaire de Bloomberg News), ByteDance, Ford Motor, Globe Telecom aux Philippines, Mastercard, Morgan Stanley, Paypal Holdings, Porsche AG, SoftBank, Telstra Group en Australie, Tencent Holdings, Verizon Communications et Wells Fargo & Co.
Dans un communiqué, Baidu a déclaré :”Nous ne pensons pas que des données aient été compromises. Baidu accorde une grande attention à assurer la sécurité des données de nos clients. Nous garderons un œil attentif sur des questions comme celle-ci et resterons attentifs à toute menace émergente pour la sécurité des données dans n’importe quelle partie de nos opérations.”
Un représentant de Porsche a déclaré :”Dans ce cas spécifique, nous avons aucune indication qu’il y avait un risque. Un représentant de SoftBank a déclaré qu’une filiale chinoise avait cessé d’utiliser GDS l’année dernière.”Aucune fuite de données d’informations sur les clients de la société chinoise locale n’a été confirmée, et il n’y a eu aucun impact sur ses activités et ses services”, a déclaré le représentant.
Un porte-parole de Telstra a déclaré :”Nous ne sommes pas au courant de tout impact sur l’entreprise à la suite de cette violation”, tandis qu’un représentant de Mastercard a déclaré :”Bien que nous continuions à surveiller cette situation, nous n’avons connaissance d’aucun risque pour notre entreprise ni d’aucun impact sur notre réseau ou nos systèmes de transaction.”
Un représentant de Tencent a déclaré :”Nous n’avons connaissance d’aucun impact sur l’entreprise suite à cette violation. Nous gérons directement nos serveurs à l’intérieur des centres de données, les opérateurs des centres de données n’ayant aucun accès aux données stockées sur les serveurs Tencent. Nous n’avons découvert aucun accès non autorisé à nos systèmes et serveurs informatiques après enquête, qui restent sûrs et sécurisés.”
Un porte-parole de Wells Fargo a déclaré qu’il utilisait GDS pour l’infrastructure informatique de sauvegarde jusqu’en décembre 2022.”GDS l’a fait pas accès aux données, aux systèmes ou au réseau de Wells Fargo », a déclaré la société. Les autres entreprises ont toutes refusé de commenter ou n’ont pas répondu.
Yoo de Resecurity a déclaré qu’en janvier, l’agent d’infiltration de son entreprise avait pressé les pirates de démontrer s’ils avaient toujours accès aux comptes. Les pirates ont fourni des captures d’écran les montrant se connectant aux comptes de cinq entreprises et naviguant sur différentes pages des portails en ligne GDS et STT GDC, a-t-il déclaré. La sécurité a permis à Bloomberg News d’examiner ces captures d’écran.
Chez GDS, les pirates ont accédé à un compte du China Foreign Exchange Trade System, une branche de la banque centrale chinoise qui joue un rôle clé dans l’économie de ce pays, exploitant le principale plate-forme de change et de négociation de la dette du gouvernement, selon les captures d’écran et Resecurity. L’organisation n’a pas répondu aux messages.
Chez STT GDC, les pirates ont accédé aux comptes du National Internet Exchange of India, une organisation qui relie les fournisseurs d’accès Internet à travers le pays, et à trois autres basés en Inde : MyLink Services, Skymax Broadband Services et Logix InfoSecurity, montrent les captures d’écran.
Atteint par Bloomberg, le National Internet Exchange of India a déclaré qu’il n’était pas au courant de l’incident et a refusé tout autre commentaire. Aucune des autres organisations en Inde n’a répondu aux demandes de commentaires.
Interrogé sur l’affirmation selon laquelle des pirates informatiques accédaient encore à des comptes en janvier en utilisant les informations d’identification volées, un représentant du GDS a déclaré :”Récemment, nous avons détecté plusieurs nouvelles attaques. contre les pirates utilisant les anciennes informations d’accès au compte. Nous avons utilisé divers outils techniques pour bloquer ces attaques. Jusqu’à présent, nous n’avons trouvé aucune nouvelle intrusion réussie de la part de pirates informatiques due à la vulnérabilité de notre système.”
Le représentant de GDS a ajouté :”Comme nous le savons, un seul client n’a pas réinitialisé l’un de leurs mots de passe de compte à cette application qui appartenait à un de leurs anciens employés. C’est la raison pour laquelle nous avons récemment forcé une réinitialisation du mot de passe pour tous les utilisateurs. Nous pensons qu’il s’agit d’un événement isolé. Ce n’est pas le résultat de pirates informatiques qui ont pénétré notre système de sécurité.”
STT GDC a déclaré avoir été informé en janvier de nouvelles menaces contre les portails de service client dans”nos régions de l’Inde et de la Thaïlande”.”Nos enquêtes à ce jour indiquent qu’il n’y a eu aucune perte de données ni aucun impact sur l’un de ces portails de service client”, a déclaré la société.
Fin janvier, après que GDS et STT GDC ont changé les mots de passe des clients, Resecurity a repéré les pirates mettant en vente les bases de données sur un forum du dark web, en anglais et en chinois, selon Yoo.
“Les bases de données contiennent des informations sur les clients, peuvent être utilisées pour le phishing, l’accès aux armoires, le suivi des commandes et équipement, commandes à distance », indique le message. « Qui peut vous aider en cas de phishing ciblé ? »
© 2023 Bloomberg LP
Des liens d’affiliation peuvent être générés automatiquement-consultez notre déclaration d’éthique pour plus de détails.
Pour plus de détails sur les derniers lancements et les actualités de Samsung, Xiaomi, Realme, OnePlus, Oppo et d’autres entreprises au Mobile World Congress de Barcelone, visitez notre hub MWC 2023.