Nous analysons trois affaires de cybercriminalité :
- Application Neon
- fuite de données d'utilisateurs Discord
- Fuite de données Oracle EBS par Cl0p
Leaky Weekly fait une pause dans la publication d'un épisode de podcast cette semaine, mais restez à l'écoute pour notre récapitulatif prochain de notre couverture du rapport Microsoft Digital Defense 2025.
Application Neon
Neon est une nouvelle application virale qui rémunère les utilisateurs pour l'enregistrement de leurs appels téléphoniques. L'entreprise revend ensuite ces enregistrements à des sociétés d'IA pour l'entraînement et le test de modèles complexes. Sa page d'accueil affiche le slogan : « Vos données vous appartiennent, il est temps que vous soyez rémunéré pour cela. »
Page d'accueil de Neon (Source : Neon)
Lancée en septembre dernier, l'application Neon s'est rapidement hissée parmi les cinq applications gratuites les plus téléchargées sur iPhone. Son principe est simple : les utilisateurs passent des appels via l'application. Pour chaque minute d'appel, Neon verse 0.30 $ si les deux interlocuteurs utilisent l'application, ou 0.15 $ si un seul l'utilise. Les paiements sont plafonnés à 30 $ par jour.
L'entreprise affirme que les données sont anonymisées avant d'être vendues. Cependant, l'idée d'enregistrer des conversations réelles contre rémunération a immédiatement soulevé des inquiétudes quant au respect de la vie privée.
Puis, fin septembre, ces craintes se sont concrétisées.
Des chercheurs de TechCrunch Une faille a été découverte dans les serveurs de Neon. Tout utilisateur connecté pouvait accéder aux numéros de téléphone, aux transcriptions d'appels, aux fichiers audio et aux métadonnées des autres utilisateurs.
Transcription d'appel divulguée (Source : TechCrunch))
Cela a révélé que les serveurs étaient totalement vulnérables. Les comptes de test ont révélé :
- transcriptions
- Liens vers les enregistrements audio bruts
- Détails des appels, y compris les numéros composés
- Durée
- Paiements
Peu après avoir été informé, le fondateur Alex Kiam a fermé l'application. Dans des courriels adressés aux clients, il a évoqué des « niveaux de sécurité supplémentaires », sans faire mention de la fuite de données.
L'application reste hors ligneDans l'attente d'un audit de sécurité, Kiam a promis de nouvelles mesures de protection, sans toutefois confirmer si des données avaient déjà été volées.
Pour l'instant, l'avenir de Neon reste incertain. Ce qui était présenté comme un moyen pour les utilisateurs de tirer profit de leurs propres données est devenu un nouvel exemple de la fragilité de la vie privée.
Fuite de données d'utilisateurs Discord
Discord a confirmé une fuite de données. sur leur plateforme de service client tierce (Zendesk).
Les attaquants ont obtenu l'accès aux informations d'un nombre limité d'utilisateurs ayant contacté le service client ou l'équipe Confiance et Sécurité de Discord. Dans un communiqué, Discord a déclaré la brèche s'est produite le Le 20 septembre, et que l'objectif des auteurs de la menace était d'extorquer une rançon à l'entreprise.
Courriel annonçant la violation de données (Source : Discord)
Les données compromises comprennent :
- Des noms
- Nom d'utilisateur
- Les adresses de courriel
- Les quatre derniers chiffres du numéro de carte de crédit
Dans certains cas, des images de pièces d'identité officielles ont également été divulguées. Ces images provenaient d'utilisateurs ayant contesté les décisions de vérification d'âge, une nouvelle mesure de sécurité obligatoire lorsque Discord signale un utilisateur comme mineur.
Discord a révoqué l'accès du fournisseur à son système de gestion des tickets interne et a lancé une enquête, menée conjointement par des équipes d'experts internes et externes, peu après l'attaque. Les autorités de protection des données et les forces de l'ordre sont désormais saisies de l'affaire.
Depuis, Discord a commencé à informer les utilisateurs concernés par e-mail. Ceux dont les comptes ont pu être consultés sont contactés directement.
Plusieurs chercheurs et journalistes ont rapporté que Scattered Lapsus$ Spider Hunters (SLSH) avait revendiqué son implication dans l'attaque. Une capture d'écran circulant en ligne semble montrer qu'ils avaient accès à des données internes du serveur Discord.
Premiers éléments de l'enquête accusant SLSH d'être responsable de la faille de sécurité dans Discord Zendesk (Source : vx-underground)
SLSH diffuse de fausses informations concernant la faille de sécurité chez Discord (Source : Flare)
Des déclarations ultérieures de SLSH indiquent qu'ils n'ont compromis que leur instance Okta et ont publié la capture d'écran en même temps que la compromission sans lien de Zendesk, afin de semer la désinformation et de semer la confusion chez les chercheurs ou les forces de l'ordre.
SLSH diffuse de fausses informations concernant la faille de sécurité chez Discord (Source : Flare)
Rien n'indique pour l'instant que SLSH soit impliqué dans la fuite de données de Discord Zendesk, et il semble que l'image n'ait été publiée que pour désinformer, ce qui est une pratique récurrente chez ce groupe.
Pour l'instant, Discord affirme que ses propres systèmes restent intacts, mais seul l'avenir dira si les attaquants ont eu accès à des informations supplémentaires.
Fuite de données dans Oracle E-Business Suite par Cl0p
Le groupe d'extorsion Cl0p, également responsable des attaques contre MOVEit, a envoyé un grand nombre de courriels adressés aux dirigeants de l'entreprise, les accusant d'avoir volé des données sensibles dans les environnements Oracle E-Business SuiteLes courriels utilisaient des centaines de comptes de messagerie tiers compromis et sans lien entre eux, soupçonnés de provenir de logiciel malveillant voleur d'informations.
Courriel d'extorsion de Cl0p envoyé aux dirigeants des entreprises touchées, depuis des comptes de messagerie compromis (Source : Google Threat Intelligence Group, Mandiant)
La campagne a débuté le 29 septembre et visait le logiciel d'entreprise d'Oracle, utilisé par les grandes organisations pour gérer leurs opérations. Les auteurs de l'attaque ont affirmé avoir pénétré les systèmes EBS et dérobé des documents internes à leurs victimes.
DLS de Cl0p, les e-mails sur DLS correspondent également à l'e-mail envoyé aux dirigeants (Source : membre de l'équipe de renseignement sur les menaces de Google)
L'activité Cela a peut-être commencé des mois plus tôt. Voici leur chronologie :
- Août 9th: Le groupe aurait exploité une vulnérabilité zero-day dès le 9 août, soit plusieurs semaines avant la publication d'un correctif par Oracle.
- Octobre 4th: Oracle a publié une mise à jour d'urgence le 4 octobre, après avoir confirmé que les systèmes concernés étaient vulnérables jusqu'à la mise à jour corrective critique de juillet.
Les chercheurs ont indiqué que les auteurs de la menace ont mené des opérations de reconnaissance tout au long de l'été, obtenant ainsi un accès aux environnements Oracle EBS et exfiltrant des données de plusieurs organisations.
Cette campagne s'inscrit dans la stratégie habituelle de Cl0p, qui consiste à exploiter les logiciels d'entreprise et tiers pour voler des données à grande échelle, comme on l'a vu lors des attaques contre les systèmes MOVEit, GoAnywhere et Accellion.
Cette affaire est encore toute récente et d'autres informations devraient suivre. À l'heure où nous écrivons ces lignes, Oracle n'a pas encore communiqué de nouvelles informations.
Leaky Weekly et Flare Academy
Leaky Weekly vous est présenté par Flare, solution de gestion de l'exposition aux menaces et ensemble de données de pointe sur la cybercriminalité qui s'intègre à votre programme de sécurité en 30 minutes. Découvrez ce qui se trouve sur le dark web (et plus encore) concernant votre organisation avec un essai gratuit.
Finalisez la commande Flare Academy:
- Notre série de formations gratuites, animée par des experts, aborde des sujets essentiels tels que le renseignement sur les menaces, la sécurité opérationnelle et les techniques d'enquête avancées (obtenez des crédits CPE pour vos certifications en cybersécurité).
- Notre communauté Discord est un espace d'apprentissage auprès de professionnels et d'étudiants en cybersécurité, où vous pouvez consulter les ressources de formation précédentes et vous tenir informé des formations à venir.
