La plateforme d'identité Blockchain Fractal ID a publié une autopsie décrivant la violation de données subie par l'entreprise le 14 juillet. La violation remonte depuis à un incident survenu en 2022 au cours duquel un employé a réutilisé un mot de passe compromis.
Selon Fractal ID, le compte compromis appartenait à un opérateur disposant de la plateforme depuis trois ans et disposait de droits d'administrateur. Cela a permis à l'attaquant de contourner les systèmes internes de confidentialité des données, bien que la surveillance du système ait permis de verrouiller l'attaquant dans un délai de 29 minutes.
Cause première de la violation
Le non-respect par l’opérateur des politiques de sécurité opérationnelle et de formation, ainsi que la réutilisation des informations d’identification issues de piratages antérieurs, ont facilité la violation.
Le 14 juillet 2024, le fournisseur de vérification d’identité cryptographique a détecté une activité inhabituelle dans l’un de ses back-offices. Cette activité a été rapidement identifiée comme une attaque malveillante, entraînant une exfiltration des données d'environ 0,5 % de sa base d'utilisateurs.
Cependant, Fractal ID a noté dans le rapport post-mortem qu'il avait désactivé tous les comptes du système compromis en réponse et limité l'accès aux employés seniors. L'entreprise a également donné la priorité à l'amélioration de ses mesures de sécurité pour prévenir de futurs incidents, telles que la mise en œuvre d'une limitation des demandes, d'une autorisation plus fine, d'une surveillance plus stricte des tentatives d'authentification échouées et d'un contrôle IP plus strict.
En relation: Les nouvelles « attaques par superposition » constituent une menace croissante pour les utilisateurs de cryptographie – PDG de la sécurité
En plus des efforts internes, Fractal ID a contacté les autorités compétentes en matière de protection des données et la division de la police anti-cybercriminalité de Berlin. La société a également fait appel à des services de cybersécurité pour surveiller toute distribution potentielle de données volées sur des sites connus de violation de données.
Impact de la violation de données
Selon le rapport, les données volées, qui ont touché environ 6 300 utilisateurs, comprennent différents niveaux d'informations, depuis les contrôles de preuve de personnalité jusqu'aux contrôles KYC complets. Ces données peuvent inclure des noms, des adresses e-mail, des numéros de téléphone, des adresses de portefeuille, des adresses physiques et des images de documents téléchargés. Fractal ID a également contacté directement les utilisateurs concernés pour les informer de la violation.
Les cofondateurs de Fractal ID, Julian, Julio, Lluis et Anna, ont exprimé leurs regrets face à l'incident et ont souligné leur engagement à protéger les données des utilisateurs. Ils ont réitéré l’objectif de l’entreprise d’évoluer vers un système de stockage en libre-service pour améliorer la sécurité des données.
Cette faille de sécurité rappelle brutalement les difficultés liées à la sauvegarde des données. Autix10, un fournisseur d'identification cryptographique, a révélé le 27 juin que ses informations de connexion administratives en ligne avaient été exposées. Cependant, dans ce cas, l’attaquant n’a apparemment eu accès à aucune donnée client.
Magazine : Crypto-Sec : Evolve Bank subit une violation de données, un passionné de Turbo Toad perd 3,6 000 $