Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.
Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.
Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.
L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.
Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.
L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.
Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.
Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.
Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.
Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.
Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.
On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.
Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.
Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.