+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Fuite de données massive chez Free (/showthread.php?tid=4686)
Fuite de données massive chez Free - SMK - 26-10-2024
L’opérateur mobile et fournisseur d’accès à Internet (FAI) Free a récemment été victime d’une cyber-attaque visant les données personnelles de ses clients. Cette fuite de données concerne tous ses abonnés (mobiles et box). Les attaquants sont passés par un des outils de gestion.
D’après SaxX, un hacker expert en cybersécurité, les données volées concernent 20 millions de clients, dont 5 millions de numéro IBAN. Parmi les informations volées, on retrouve les noms, prénoms, numéros de téléphones, adresses mails, adresses postales, numéros de contrats ainsi que des données contractuelles. Ces données ont été revendues sur le dark web.
Free a envoyé un mail à ses abonnés le 25 octobre 2024, les notifiant ainsi de la perte de données, indiquant à ses abonnés qu’« aucun mot de passe n’est concerné » et que « toutes les mesures nécessaires ont été prises pour mettre fin à l’attaque ».
La Commission Nationale de l’Informatique et des Libertés (CNIL) ainsi que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ont été notifiées de cette attaque.
Free a également déposé plainte pénale auprès du procureur de la République. L’auteur de l’attaque risque 5 ans de prison et 150 000 euros d’amende.
RE: Fuite de données massive chez Free - EnZ0 - 07-11-2024
L'incident met en lumière l'importance de la sécurisation des outils de gestion et la conformité RGPD. Cette attaque soulève également des questions intéressantes sur la sécurisation des outils de gestion internes.
Le fait que les attaquants aient pu accéder à autant de données sensibles via un seul point d'entrée est (très) préoccupant.
Un détail particulièrement intéressant est apparu récemment : selon YuroSh, un des hackers impliqués, les données n'auraient en réalité jamais été vendues, contrairement à ce qui avait été annoncé initialement. Cette révélation soulève des questions sur les motivations réelles derrière cette attaque.
Ce qui est désolant, c'est que Free avait déjà été sanctionné par la CNIL en 2022 pour des problèmes de sécurité, notamment concernant des mots de passe en clair. On aurait pu s'attendre à un renforcement significatif de leurs mesures de sécurité suite à cet incident...