Des cybercriminels sont parvenus à accumuler des millions de données dérobées sur un serveur. Problème : ils ont oublié de protéger ce butin d'une grande valeur, auquel n'importe qui pouvait accéder.

Encore une base de données laissée sans protection, accessible à toute personne qui en connaîtrait l’adresse. Sauf que cette fois, ce n’est pas la sécurité d’une entreprise qui est à revoir, mais celle d’un groupe de cybercriminels.

Bob Diachenko, directeur chez Security Discovery, a repéré en ce début d’année 2021 une base en ligne contenant les informations de centaines de milliers de personnes, vraisemblablement victimes d’un malware. Dans le détail, il y a trouvé des données personnelles (emails, noms, adresses), des mots de passe ou encore des cookies d’authentification. Après avoir demandé pendant plusieurs semaines à l’hébergeur de l’adresse non protégée de la fermer, il a fini par contacter The Record Media pour enquêter plus amplement sur le jeu de données.

Have I Been Pwned pourrait bientôt annexer ces données // Source : Louise Audry pour Numerama

Le serveur où se trouvait la base de données a fini par disparaître le 5 mai, ce qui a déclenché la publication du média. Diachenko n’a pas pu savoir si cette mise hors ligne a été effectuée par l’hébergeur ou par les cybercriminels eux-mêmes. Le chercheur a expliqué qu’il enverrait le contenu de la base à Troy Hunt, le fondateur de Have I Been Pwned, pour que les victimes puissent être averties.

Mieux que des mots de passe, des cookies

Dans le détail, The Record Media identifie que les données ont été collectées par le malware RacoonStealer, en raison du format des données. Une fois sur l’ordinateur de sa victime, ce logiciel malveillant va agréger toutes sortes d’informations et les envoyer vers un serveur de commande et contrôle piloté par les hackers. Ils n’ont ensuite plus qu’à transférer les données des différents ordinateurs infectés dans une grande base de données pour les analyser. C’est cette base, aussi appelée data lake, que Diachenko pense avoir découvert.

Les cybercriminels ont utilisé un malware en kit

RacoonStealer a pour particularité d’être un Malware-as-a-service, autrement dit, une sorte de malware à louer. Pour un abonnement compris entre 75 et 200 dollars par mois, des cybercriminels en herbe peuvent obtenir un outil pour générer différentes versions du malware, ainsi qu’un site piraté qui servira de point de lancement de la campagne de diffusion. Puisque ce genre de malware peut être exploité avec très peu de compétences informatiques, il n’est pas si surprenant que les cybercriminels n’aient pas correctement sécurisé leur butin.

D’après The Record Media, les données les plus abondantes de la base sont des cookies d’authentification, qui s’y trouvent en millions. Très recherchés par les cybercriminels, ils permettent de se connecter à un compte sans en avoir les identifiants. Mieux, ils permettent d’outrepasser la double authentification, une des protections les plus répandues. Résultat : des marchés noirs se sont spécialisés dans leur vente, particulièrement lucrative. Avec leur raté, les cybercriminels qui ont constitué la base se sont vraisemblablement fait dérober un butin particulièrement précieux.

Les cybercriminels ont fait la même erreur que les entreprises

Comme souvent, la base de données se trouvait sur un serveur Elasticsearch mal sécurisé. C’est une sorte d’Excel géant, qui permet de faire des opérations de calcul et de tri sur de gigantesques bases de données. Mais les utilisateurs de cette technologie oublient tellement souvent de mettre en place un mot de passe que des chercheurs comme Diachenko se sont spécialisés dans leur recherche. Et bien sûr, les cybercriminels sont aussi sur le coup.

En mai 2020, Comparitech avait réalisé une expérience afin de voir à quelle vitesse un Elasticsearch ouvert serait compromis. Bilan : 8h35 après sa mise en ligne, un premier visiteur avait déjà téléchargé son contenu. 11 jours plus tard, 175 personnes avaient manipulé la base de données. Autrement dit, lorsqu’un Elasticsearch reste ouvert plus d’une semaine, nul doute que des personnes — malveillantes comme bienveillantes — le trouveront.

Bref, les Elasticsearch non protégés sont une source bien connue de fuite, ce qui n’empêche pas des entreprises en tout genre de se rater. Rien que l’an dernier, nous avons parlé des cas français d’une plateforme de crowdfunding, d’un forum de rencontre BDSM, d’une app de rencontre ou encore de sites de voyance. On peut désormais ajouter le groupe de cybercriminels à cette liste.

Crédit photo de la une : YouTube

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux