ShinyHunters a informé Odido de sa propre fuite de données touchant 6,5 millions de clients

Ce qu'a exposé la violation de données d'Odido et qui est concerné

La violation de données d'Odido est l'une des histoires les plus embarrassantes à émerger du secteur des télécommunications européen cette année. Odido, le troisième opérateur mobile des Pays-Bas, a vu les données de 6,5 millions de clients dérobées en février. Des coordonnées, des dates de naissance, des numéros d'identification client et d'autres informations personnelles ont été captés lors de l'attaque. Ce qui rend cet incident particulièrement frappant, ce n'est pas seulement son ampleur. C'est le fait que la propre équipe de sécurité d'Odido l'a entièrement manqué.

La société a confirmé qu'elle n'avait pris connaissance de la violation qu'après que le groupe de hackers ShinyHunters l'eut contactée directement. ShinyHunters, un groupe cybercriminel prolifique connu pour ses vols de données à grande échelle, a en fait notifié la victime. Le PDG d'Odido a publiquement reconnu que des erreurs avaient été commises. Les mots de passe, les données de facturation, les relevés d'appels et les données de localisation n'auraient pas été inclus dans l'ensemble de données volées, mais cette maigre consolation ne change pas le problème fondamental : des millions de personnes ont vu leurs données télécom exposées sans que la société le sache.

Comment la détection interne d'Odido a échoué pendant des mois

C'est la partie de l'histoire de la violation de données d'Odido que la plupart des articles survolent. Une attaque s'est produite en février. La société a mené une enquête interne. Cette enquête n'a rien trouvé. Il a fallu que les attaquants eux-mêmes ferment la boucle.

Ce type d'échec de détection n'est pas propre à Odido. Les opérateurs de télécommunications gèrent des systèmes CRM tentaculaires contenant des millions d'enregistrements, et des techniques d'intrusion sophistiquées peuvent laisser des traces minimales si l'attaquant est prudent. Mais cet échec pointe vers une lacune systémique : la surveillance interne n'était apparemment pas suffisante pour détecter l'exfiltration de données en temps réel. Au moment où Odido a confirmé ce qui s'était passé, les données se trouvaient déjà entre les mains d'un groupe ayant l'habitude de vendre des enregistrements volés sur des marchés du dark web.

Pour replacer dans le contexte le schéma plus large de ShinyHunters, le groupe a été lié à plusieurs violations à grande échelle où les entreprises ont été similairement lentes à réagir ou inconscientes de l'attaque. Leur attaque contre Canvas plus tôt cette année a suivi un manuel comparable : exfiltrer des données, révéler la violation publiquement ou via la victime, et exercer une pression. L'incident Odido correspond presque exactement à ce modèle.

Pourquoi les violations de données télécom sont particulièrement dangereuses pour la vie privée

Toutes les violations de données ne comportent pas le même risque en aval. Les données télécom se situent à une intersection particulièrement dangereuse, car elles associent votre identité réelle à votre numéro de téléphone, et cette combinaison ouvre la porte à un ensemble spécifique d'attaques.

La fraude par échange de carte SIM est la préoccupation la plus immédiate. Lorsqu'un attaquant dispose de votre nom, de votre numéro de téléphone et des détails de votre compte, il peut contacter votre opérateur en se faisant passer pour vous et demander un transfert de SIM vers un appareil qu'il contrôle. Une fois en possession de votre numéro, il peut intercepter les codes d'authentification à deux facteurs par SMS et accéder à des comptes bancaires, à des messageries électroniques et à des portefeuilles de cryptomonnaies. Ce n'est pas un risque théorique. C'est l'une des principales méthodes de monétisation des enregistrements télécom volés.

Au-delà des échanges de SIM, les métadonnées télécom permettent un hameçonnage très ciblé. Un attaquant qui connaît votre nom, votre numéro de mobile et le fait que vous êtes client d'un opérateur spécifique peut concevoir des messages convaincants imitant l'équipe d'assistance de cet opérateur. Il ne s'agit pas de messages indésirables génériques. Ce sont des attaques d'ingénierie sociale construites à partir de données réelles, ce qui les rend nettement plus difficiles à repérer.

Cela fait partie d'un schéma plus large visible dans les violations à travers l'Europe. La fuite du fournisseur de messagerie français qui a exposé 40 millions d'enregistrements et l'exposition de 18 millions de données d'identité françaises par un jeune hacker ont toutes deux montré comment l'agrégation de données personnelles accélère le risque pour les individus, même lorsqu'aucune information isolée ne semble catastrophique. Les données télécom sont particulièrement précieuses car elles ancrent toutes ces informations agrégées à un canal de communication joignable et en temps réel.

Les protections supplémentaires que les utilisateurs de VPN devraient adopter après des fuites de données télécom

Si vous êtes client d'Odido, ou simplement quelqu'un qui réfléchit à ce que cette violation signifie pour des personnes dans votre situation, il existe des mesures concrètes à prendre dès maintenant.

Premièrement, contactez votre opérateur mobile et demandez à ajouter un verrouillage SIM ou un gel de portabilité sur votre compte. Cela rend nettement plus difficile pour un attaquant de transférer votre numéro sans vérification en personne. De nombreux opérateurs proposent cette option sans la mettre en avant.

Deuxièmement, abandonnez autant que possible l'authentification à deux facteurs par SMS. Utilisez plutôt une application d'authentification. Si votre numéro de téléphone est compromis lors d'un échange de SIM, les codes SMS deviennent une vulnérabilité plutôt qu'une protection.

Troisièmement, vérifiez où votre numéro de téléphone est utilisé comme méthode de récupération. Les comptes de messagerie, les applications bancaires et les plateformes de réseaux sociaux qui utilisent votre numéro de mobile pour la récupération de compte sont tous des cibles potentielles si vos données télécom ont été exposées.

Quatrièmement, envisagez un VPN avec protection contre les fuites DNS pour votre appareil mobile. Un VPN ne prévient pas un échange de SIM, mais il ajoute une couche de protection pour la navigation et le trafic des applications sur votre appareil, notamment sur les réseaux publics où un attaquant pourrait tenter d'intercepter le trafic après une compromission SIM.

Enfin, utilisez un service de surveillance des violations pour suivre si votre adresse e-mail ou votre numéro de téléphone apparaît dans des ensembles de données nouvellement divulgués. Have I Been Pwned a déjà indexé la violation Odido.

Ce que cela signifie pour vous

La violation de données d'Odido rappelle que les entreprises détenant vos données peuvent ne pas savoir qu'elles ont été volées jusqu'à ce que quelqu'un d'autre le leur signale. Les échecs de détection surviennent, et quand c'est le cas, la fenêtre entre le vol et votre prise de conscience peut durer des mois. Pendant cette fenêtre, vos données peuvent être achetées, vendues et utilisées.

Prenez cela comme une incitation à vérifier la sécurité de votre compte télécom et à réduire votre dépendance à l'authentification basée sur le numéro de téléphone pour vos comptes les plus sensibles. L'incident Odido mérite également d'être examiné à la lumière de l'activité plus large de ShinyHunters. Comprendre le schéma d'attaque du groupe contre les grandes plateformes grand public aide à expliquer pourquoi aucune entreprise ou secteur en particulier n'est à l'abri. Commencez par votre numéro de téléphone. C'est la clé qui ouvre bien plus de portes que la plupart des gens ne le réalisent.