Le pirate affilié à HellCat a compromis des serveurs Jira d’Orange Roumanie et a mis la main sur 600 000 données de partenaires et de clients, dont plus de 300 000 e-mails, du code source, des contrats et des informations clients, entre autres. Les données ont été diffusées sur le dark web.
Le média Bleeping Computer rapporte que la branche roumaine d’Orange a été victime d’une cyberattaque menée par un hacker affilié au groupe de ransomware HellCat, et qui en serait l’un des administrateurs. Le pirate, qui se fait appeler Rey, assure notamment détenir 380 000 adresses e-mail uniques, du code source, des factures, des contrats et des informations concernant des clients et des employés.
Les données publiées sur le dark web
Contacté par Bleeping Computer, Rey explique avoir agi pour son propre compte et avoir eu accès aux systèmes de l’entreprise pendant un mois. Ce délai lui a permis d’exfiltrer 6,5 Go de données après avoir exploité des identifiants compromis et des vulnérabilités logicielles dans l’outil de gestion Jira de l’entreprise, utilisé pour le suivi des bugs et la gestion des incidents.
Après étude des échantillons, le média rapporte que certaines adresses e-mails appartiennent à d’anciens et actuels employés d’Orange Roumanie, ainsi qu’à des partenaires et sous-traitants. Certaines données étaient obsolètes, et des fichiers concernaient des individus qui ne travaillent plus pour l’entreprise.
De son côté, le hacker éthique SaaX a commenté l’attaque en indiquant : « Il y a quelques instants, un cybercriminel, Rey, a diffusé gratuitement les données du Groupe Orange, 1er opérateur de téléphonie en Europe. » Cela serait sans doute suite au refus de la filiale roumaine d’Orange de se soumettre à ses exigences.
Une situation sous contrôle
Contactée par nos confrères, Orange a confirmé la fuite et a précisé qu’elle concernait une application back-office non critique. Une enquête est en cours et des actions sont prises pour minimiser l’attaque qui n’a pas eu d’impact sur les opérations des clients. « Nous nous engageons à fournir des mises à jour régulières. De plus, nous respectons toutes les obligations légales liées à ce type d’incident et nous coopérons avec les autorités compétentes pour résoudre cette situation », a-t-elle expliqué à nos confrères.
Le procédé employé contre Orange ressemble fortement à une cyberattaque contre Schneider Electric en fin d'année dernière. Grep, un acteur de la menace lié à HellCat, a revendiqué le vol de 40 Go de données après avoir compromis les serveurs Jira de l’entreprise en utilisant des identifiants compromis. Il avait pu extraire 400 000 lignes de données, dont 75 000 adresses e-mails uniques, ainsi que des informations sur des projets, des plugins et les noms des clients de la multinationale française. Le pirate avait exigé le paiement de 125 000 dollars « en baguettes ».
