Présentation de l'incident

Le 12 octobre, la compagnie aérienne Qantas a confirmé que des données personnelles de 5,7 millions de ses clients, volées lors d'une cyberattaque survenue en juillet, avaient été publiées sur des espaces du dark web.

Déroulement de l'attaque

En juillet, des acteurs malveillants ont ciblé un système exploité par une tierce partie. Ce système a servi de vecteur pour l'exfiltration de données clients. Qantas a précisé que les informations accessibles comprenaient des noms, des adresses électroniques, des numéros de téléphone et des dates de naissance. Les numéros de passeport et les données de paiement n'étaient pas présents dans ce système.

Plate-forme tierce et entreprises affectées

L'éditeur de logiciels Salesforce a été identifié comme la plate-forme tierce visée par l'attaque. Plusieurs organisations utilisatrices de cette plate-forme ont été affectées, notamment des compagnies aériennes et des groupes internationaux.

Publication et revendication

Des éléments de données extraites ont été publiés sur le dark web. Une organisation se présentant sous le nom de Scattered Lapsus$ Hunters a revendiqué l'opération et a réclamé le versement d'une rançon. Des équipes de recherche en cybersécurité ont lié cette opération à une campagne coordonnée visant des clients utilisateurs de la plate-forme ciblée.

Techniques utilisées et alertes

Les auteurs ont utilisé des techniques d'ingénierie sociale visant le personnel de support et des tiers disposant d'accès aux systèmes ciblés. Des autorités et des organismes de sécurité informatique avaient déjà mis en garde contre ce type d'attaques visant des services cloud et des plates-formes de gestion de la relation client.

Réponses et enquêtes

Qantas a indiqué travailler avec des experts en cybersécurité pour déterminer précisément quelles données ont été divulguées et pour évaluer l'impact. D'autres entreprises utilisant la plate-forme attaquée mènent également des analyses d'impact et adressent des notifications aux personnes potentiellement affectées.

Conséquences et recommandations

Les personnes dont les données ont été publiées s'exposent à un risque accru d'hameçonnage et d'usurpation d'identité. Les enquêtes en cours doivent préciser l'étendue des informations exposées et les mesures de remédiation à mettre en place, notamment la surveillance des comptes et la prudence face aux sollicitations par courriel ou téléphone.