Une attaque de phishing la semaine dernière a permis à des attaquants d’accéder aux e-mails et aux fichiers du California State Controller’s Office (SCO), une agence chargée de gérer plus de 100 milliards de dollars de fonds publics chaque année. Les hameçonneurs ont eu accès pendant plus de 24 heures, et des sources disent à KrebsOnSecurity que les intrus ont utilisé ce temps pour voler des numéros de sécurité sociale et des fichiers sensibles sur des milliers de fonctionnaires, et pour envoyer des messages de phishing ciblés à au moins 9000 autres travailleurs et leurs contacts.
Un avis de violation publié par le bureau du contrôleur de l’État de Californie.
Dans un message «Avis de violation de données» publié le samedi 20 mars, le bureau du contrôleur a déclaré que pendant plus de 24 heures à compter de l’après-midi du 18 mars, les attaquants avaient accès aux enregistrements de courrier électronique d’un employé de sa division des biens non réclamés après l’employé a cliqué sur un lien de hameçonnage, puis a saisi son identifiant de messagerie et son mot de passe.
«Le SCO a des raisons de croire que le compte de messagerie compromis contenait des informations d’identification personnelle contenues dans les rapports des propriétaires non réclamés», a déclaré l’agence, exhortant les employés de l’État contactés par l’agence à placer des alertes de fraude sur leurs dossiers de crédit auprès des principaux bureaux de consommation. «L’utilisateur non autorisé a également envoyé des e-mails potentiellement malveillants à certains contacts de l’employé du SCO.»
Le SCO a répondu dans un e-mail qu’aucune donnée des employés de l’État n’avait été compromise.
« Un seul compte de messagerie d’un employé a été brièvement compromis par une attaque de spear phishing et a été rapidement désactivé », porte-parole de SCO Jennifer Hanson mentionné. «SCO a notifié les contacts de l’employé qui ont peut-être reçu un e-mail potentiellement malveillant de la part de l’utilisateur non autorisé. Les membres de l’équipe SCO ont identifié toutes les informations personnelles incluses dans le compte de messagerie compromis et ont commencé le processus de notification des parties concernées. Le responsable du traitement va au-delà des exigences de notification prévues par la loi en fournissant à la fois une notification par courrier et une notification de remplacement dans le but d’assurer la notification la plus large possible. »
Une source d’une agence de l’État de Californie voisine qui a suivi l’incident en interne avec d’autres employés a déclaré que le SCO avait oublié de mentionner que les intrus avaient également accès à l’employé hameçonné. Fichiers Microsoft Office 365 – et potentiellement tous les fichiers partagés avec ce compte sur le réseau de l’État.
«Ce n’est même pas toute l’étendue de la violation», a déclaré l’employé de l’État de Californie, qui s’est exprimé sous couvert d’anonymat.
La source affirme que les intrus ont volé plusieurs documents contenant des données personnelles et financières sur des milliers d’employés de l’État, puis ont utilisé la boîte de réception de l’employé hameçonné pour envoyer des e-mails de phishing ciblés à au moins 9000 employés de l’État de Californie et à leurs contacts. Dans une réponse de suivi à ces allégations, le SCO a déclaré que son «personnel de sécurité informatique était en mesure de déterminer – sur la base des mêmes journaux qui ont identifié l’intrusion – qu’aucun accès n’a été fait à des fichiers Office 365 autres que la boîte aux lettres de l’employé.»
Le contrôleur d’État est le directeur financier de la Californie, la sixième économie mondiale. Source: sco.ca.gov.
De nombreux attaquants peuvent faire beaucoup de dégâts avec 24 heures d’accès au compte d’un utilisateur. Et le spear-phishing d’autres personnes qui interagissent fréquemment avec le SCO par e-mail pourrait permettre aux méchants d’accéder encore plus aux systèmes de l’État. Le SCO détient une énorme quantité d’informations personnelles et financières sur des millions de personnes et d’entreprises qui font des affaires avec ou dans l’État.
Les organisations qui souhaitent améliorer la sécurité interne se tournent souvent vers des entreprises qui aident les employés à apprendre à détecter et à éviter les attaques d’hameçonnage par e-mail – en leur envoyant des e-mails de phishing simulés, puis en notant leurs réponses aux employés. L’employé a déclaré que jusqu’à très récemment, la Californie utilisait l’une de ces entreprises pour les aider à organiser régulièrement une formation sur le phishing.
Puis en octobre 2020, le Département de technologie de Californie (CDT) a publié un nouvel ensemble de directives qui obligent effectivement tous les cadres, gestionnaires et superviseurs à connaître tous les détails d’un exercice de phishing avant qu’il ne se produise. Ce qui suggère que de nombreuses personnes qui devraient absolument subir un test d’hameçonnage avec tout le monde n’auront pas la même formation continue.
« Cela signifie que ces personnes ne seront plus jamais testées », a déclaré la source de l’agence d’État. «C’est complètement absurde et personne à la CDT ne s’approprie ce kludge. La norme a également été rédigée de manière à interdire efficacement les tests dynamiques comme vous le voyez dans KnowBe4, où même un administrateur ne saura pas quel modèle de phishing il pourrait recevoir. » [Full disclosure: KnowBe4 is an advertiser on this site].
La CDT a publié la déclaration suivante en réponse: «Le SCO a informé CDT qu’il avait contenu l’attaque de phishing. La caractérisation de la norme d’exercice d’hameçonnage CDT est incorrecte. Avant d’effectuer des tests d’hameçonnage dans une agence publique, il est conseillé aux unités opérationnelles internes de se coordonner pour éviter toute interruption ou impact opérationnel sur les services publics. Les superviseurs et les gestionnaires sont régulièrement testés sans préavis pour s’assurer que les employés à tous les niveaux sont conscients des risques pour la sécurité et peuvent apprendre à les éviter. »
Mise à jour, 15 h 44 HE: Ajout d’un commentaire et d’une réponse du California SCO.
Mise à jour, 17 h 38 HE: Ajout d’un commentaire supplémentaire de SCO sur l’accès au cloud.
Mise à jour, 18 h 58 HE: Ajout de la réponse du CDT.
Mots clés: Département de la technologie de Californie, violation du contrôleur de l’État de Californie, KnowBe4, hameçonnage
- LEGRAND Contrôleur permanent d'isolement pour circuit IT médical 230V~ de 50kohms à 500kohmsCaractéristiques produit : Contrôleur permanent d'isolement Pour circuit monophasé, spécifique IT médical Conforme à la norme IEC 61557-8 (Annexe A et B) A associer à un ou plusieurs (jusqu'à 5) report d'état pour signaler tout défaut par signal sonore et visuel dans le local concerné Possibilité de définir
- LEGRAND Contrôleur permanent d'isolement pour circuit IT médical 24V~ de 5kohms à 50kohmsCaractéristiques produit : Contrôleur permanent d'isolement Pour circuit monophasé, spécifique IT médical Conforme à la norme IEC 61557-8 (Annexe A et B) A associer à un ou plusieurs (jusqu'à 5) report d'état pour signaler tout défaut par signal sonore et visuel dans le local concerné Possibilité de définir
- ULTRA SECURE Commande à distance GSM relais par SMS - KP MON X4 3G transmetteur / contrôleurElectricité Domotique, automatismes et sécurité Alarme : kit et accessoires Alarme maison ULTRA SECURE, POINTS CLEFS DE CE PRODUIT Permet de contrôler / déclencher des appareils à distance Ouvrez ou fermez les 2 relais simplement par SMS de votre téléphone mobile Rapport d'état des relais