Prénom rapporté en novembre 2020, la violation de données Cit0Day aurait pour origine d'un site de vente d'identifiants qui offraient l'accès aux noms d'utilisateur et aux mots de passe de milliers de sites Web et de services en ligne. La base de données principale de Cit0Day a été divulguée en ligne et a circulé parmi les chaînes privées pendant plusieurs semaines, avant d'être partagée sur un forum plus grand public sur Internet et le darknet.
Obtenez le rapport complet sur les renseignements
Il est actuellement difficile d'analyser l'impact total de cette violation de données, compte tenu de sa taille (24 Go) et du nombre de fichiers impliqués (36,000 XNUMX). Ce type d'analyse nécessite des ordinateurs puissants et des scripts sophistiqués pour identifier et donner un sens aux données. L'information a été divulguée avec peu ou pas d'informations sur sa structure, et un nom et format de fichier incohérents. Étant donné que plusieurs fichiers renvoient à un seul site Web, une quantité importante de données peut être dupliquée. La la capture d'écran ci-dessous montre les mêmes adresses e-mail, avec des mots de passe cryptés et non cryptés.
La recherche de l'industrie donne de la crédibilité à la violation de données Cit0Day
Chercheur Troy Hunt prétentions que jusqu'à 226 millions de noms d'utilisateur et de mots de passe ont été divulgués lors de la violation de données Cit0Day. Des preuves anecdotiques suggèrent que la violation de données contient de nombreux noms d'utilisateur valides et éventuellement des mots de passe. Environ un tiers de toutes les adresses e-mail n'étaient pas connues publiquement suite à des fuites de données précédentes. Cela suggère en outre que bon nombre des 23,000 0 sites Web dont les informations d'identification ont été divulguées dans CitXNUMXDay n'ont pas encore révélé publiquement qu'ils étaient impliqués dans la violation de données. UN liste de tous les sites ciblés peut être trouvé sur GitHub ici - Surveillance des données des cadres supérieurs et des VIP ici.
La violation de données Cit0Day est un événement de sécurité important pour les entreprises canadiennes, compte tenu de la taille de la violation de données et le manque de transparence des parties concernées.
Les fournisseurs de messagerie gratuits sont toujours les adresses e-mail les plus divulguées
Les noms de domaine les plus courants dans les adresses e-mail divulguées étaient fournisseurs de services de messagerie gratuits bien connus, comme indiqué ci-dessous. Pris ensemble, ils représentent plus de la moitié (57 %) de toutes les informations d'identification divulguées, y compris les fournisseurs de services régionaux de Russie (mail.ru, yandex.ru), de Corée du Sud (naver.com, hanmail.net), de France (hotmail.fr) et la Chine (163.com).
Les sources de fuites les plus courantes pour les entreprises canadiennes
Les principales sources de fuites qui ont touché les entreprises canadiennes comprennent ou sont liées à :
- Répertoires d'entreprises qui contiennent des informations sur les entreprises canadiennes et les classent en fonction de leur emplacement, de leur domaine, de leur taille et de leur activité ;
- Loisirs et loisirs : Entreprises d'élevage, d'adoption et de courses de chevaux, accessoires de navigation et marinas, clubs et tournois de golf, ligues et championnats de hockey, clubs de curling et de soccer, magasins de musique, galeries et échanges d'art, sites Web de voyage, livraison de nourriture et musées ;
- Enfants: jeux gratuits et plateformes d'apprentissage en ligne, ligues de soccer et de hockey de partout au Canada;
- Immobilier: bureaux régionaux d'une importante société immobilière ;
- Sites d'emploi, notamment pour les soins infirmiers en Ontario et les emplois dans la Silicon Valley;
- Institutions publiques de l'Ontario et du Québec.
Aucun site Web ne concentre une grande partie des comptes enregistrés.
Cit0Day a été peu évoqué dans l'underground criminel
A rechercher dans notre base de données de solutions de protection contre les risques numériques Firework trouvé un nombre limité de publications intéressantes sur le service Cit0Day. Notre équipe a récupéré une publicité de l'administrateur de Cit0Day lors de sa publication.
Nous avons également trouvé un certain nombre de publicités d'acteurs malveillants partager un lien pour la fuite de données Cit0Day. Un message était particulièrement intéressant, car l'acteur malveillant n'a pas pu trouver un seul acheteur pour la fuite de données et a décidé de le donner gratuitement. Le message a été publié il y a environ un mois, un certain temps après que la fuite a été rendue disponible sur les réseaux privés.
Enfin, nous avons trouvé des preuves que les acteurs malveillants eux-mêmes étaient confus quant au meilleur l'utilisation d'une telle violation de données massives, après avoir rencontré plusieurs problèmes lors de l'extraction de renseignements.
Conclusion
Au cours des cinq dernières années, les violations de données ont considérablement augmenté, aboutissant à des centaines de millions d'adresses e-mail et à un mélange de mots de passe cryptés et cryptés. La doublure argentée est que les individus peuvent se perdre dans l'immensité des comptes qui fuient.
Les acteurs malveillants n'auront jamais le temps d'abuser des 226 millions d'adresses e-mail divulguées lors de la faille Cit0Day. De nombreuses entreprises souffriront de cette violation, mais les victimes ne représenteront probablement qu'une petite fraction de toutes les entreprises touchées. C'est d'autant plus probable que de nombreux mots de passe n'ont jamais été déchiffrés par l'équipe Cit0Day.in, ce qui rend plus difficile l'abus des informations d'identification.
Pour protéger votre entreprise contre la violation de données Cit0Day, vous devez activer l'authentification à deux facteurs dès que possible. Élément essentiel d'une bonne hygiène de sécurité, l'authentification à deux facteurs rend beaucoup plus difficile la prise en charge des comptes. De plus, vous devriez également vérifier si les identifiants de connexion ont été inclus dans la violation de données Cit0Day. Cela peut être fait en temps réel, lorsqu'un utilisateur se connecte, ou périodiquement, dans les deux cas en utilisant nos API.
Luana Pascu a contribué à cet article.
