ShinyHunters frappe Addi.com : 16 millions de dossiers financiers dérobés

Le groupe de ransomware ShinyHunters a revendiqué la responsabilité d'une cyberattaque contre Addi.com, une société colombienne de services financiers opérant sous le nom d'Adelante Soluciones Financieras. Selon l'annonce du groupe, plus de 16 millions de dossiers ont été compromis, contenant des informations personnelles sensibles, des détails de transactions par carte de crédit et des données KYC (Know Your Customer) provenant de grands bureaux de crédit dont TransUnion et Experian. Le volume total des données volées atteindrait 518 Go.

Cette violation s'inscrit dans la continuité d'une série d'attaques croissantes menées par le même groupe. ShinyHunters est à l'origine de plusieurs incidents très médiatisés ces derniers mois, notamment une revendication de 21 millions de dossiers volés chez l'opérateur télécom néerlandais Odido et une violation chez la société de sécurité résidentielle Alert 360 ayant exposé 2,5 millions de dossiers. Le groupe semble accélérer à la fois la fréquence et l'ampleur de ses opérations.

Ce qui rend cette violation particulièrement grave

La plupart des violations de données concernent une ou deux catégories d'informations personnelles. L'incident Addi.com est différent car il combine plusieurs niveaux de données hautement sensibles au sein d'un seul et même ensemble de données.

Les données KYC sont particulièrement précieuses pour les cybercriminels. Les institutions financières collectent ces informations pour vérifier l'identité de leurs clients, ce qui signifie qu'elles contiennent généralement des numéros de pièces d'identité officielles, des justificatifs de domicile, des informations sur l'emploi et, dans certains cas, des données biométriques. Lorsque ces données sont associées aux dossiers de bureaux de crédit tels que TransUnion et Experian, un attaquant dispose effectivement d'un profil financier complet de chaque victime.

Les données des bureaux de crédit peuvent inclure les scores de crédit, l'historique des prêts, les dettes en cours et le comportement de paiement sur plusieurs années. Combinées aux données de transactions par carte de crédit, elles donnent aux acteurs malveillants tout ce dont ils ont besoin pour ouvrir des comptes frauduleux, contracter des prêts au nom d'une victime ou élaborer des tentatives de phishing très convaincantes ciblant des vulnérabilités financières spécifiques.

Pour les utilisateurs basés en Colombie et sur tout autre marché où Addi.com opère, le risque de fraude à l'identité et de prise de contrôle de comptes financiers est élevé pour un avenir prévisible.

Pourquoi un VPN seul ne peut pas vous protéger de ce type d'exposition

Une idée reçue très répandue est qu'utiliser un VPN protège les utilisateurs contre les violations de données. Ce n'est pas le cas. Un VPN protège votre trafic internet en transit, masquant votre adresse IP et chiffrant les données circulant entre votre appareil et un serveur. Il n'a aucune incidence sur ce qui se passe à l'intérieur des bases de données d'une entreprise une fois que vous lui avez déjà communiqué vos informations.

La violation d'Addi.com, comme la plupart des incidents majeurs impliquant des données financières, s'est produite au niveau des serveurs, et non lors de la transmission. Une fois qu'une entreprise détient vos documents KYC, votre historique de crédit et vos relevés de transactions, votre configuration VPN personnelle n'a aucune influence sur la sécurité de ces données.

Cela ne rend pas les VPN sans intérêt. Chiffrer votre connexion reste une démarche pertinente, notamment sur les réseaux publics où le vol d'identifiants par interception constitue un risque réel. Mais des événements comme celui-ci soulignent que la protection de la vie privée nécessite une approche en plusieurs couches, et non un seul outil.

Ce que cela signifie pour vous

Si vous avez utilisé Addi.com ou tout service partageant des données avec Adelante Soluciones Financieras, vous devriez partir du principe que vos informations sont peut-être en circulation, même avant toute confirmation officielle de la part de l'entreprise.

Voici des mesures concrètes à prendre dès maintenant :

  • Surveillez vos rapports de crédit. Dans de nombreux pays, vous pouvez demander des rapports gratuits auprès des bureaux de crédit. Recherchez des comptes ou des demandes que vous n'avez pas initiés. Si les données des bureaux de crédit faisaient partie de cette violation, les demandes de crédit frauduleuses constituent une menace réaliste à court terme.
  • Placez un gel de crédit si cela est possible dans votre juridiction. Un gel empêche l'ouverture de nouveaux crédits à votre nom sans votre participation directe, même si quelqu'un détient l'intégralité de vos informations personnelles.
  • Changez les mots de passe de vos comptes financiers. Si vous avez réutilisé des identifiants sur plusieurs services, mettez-les à jour immédiatement. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques pour chaque compte.
  • Activez l'authentification multifacteur. Sur les applications bancaires, la messagerie et tout compte lié à une activité financière, l'authentification multifacteur constitue un obstacle que des identifiants volés seuls ne peuvent pas contourner.
  • Méfiez-vous du phishing ciblé. En possession de profils financiers détaillés, les attaquants peuvent rédiger des courriels ou passer des appels convaincants faisant référence à votre historique de prêts ou à des détails de votre compte. Soyez sceptique face à tout contact non sollicité vous demandant de vérifier des informations financières.
  • Utilisez des services de surveillance des violations. Plusieurs services réputés vous alertent lorsque votre adresse e-mail ou vos identifiants apparaissent dans des ensembles de données récemment divulgués. La mise en place d'alertes vous permet d'être prévenu plus tôt que si vous attendez les notifications officielles de l'entreprise.

Le groupe ShinyHunters a démontré à maintes reprises, comme en témoigne son attaque contre ADT ayant exposé des dossiers liés à des millions de clients en sécurité, qu'aucun secteur n'est épargné et que les négociations ne garantissent pas de manière fiable que les données ne seront pas publiées ou vendues.

La violation d'Addi.com rappelle que la protection de votre identité financière exige une attention constante, et non une configuration ponctuelle. Combiner des outils tels que les VPN, les gestionnaires de mots de passe, la surveillance des violations et les gels de crédit offre une résilience significative, même lorsque les entreprises qui détiennent vos données font défaut. Évaluez votre exposition dès maintenant, plutôt que d'attendre des communications officielles qui pourraient arriver des semaines après que les dégâts aient déjà été causés.