Les données des clients de Framework ont été volées par des attaquants au lendemain d’une opération réussie contre un fournisseur du fabricant d’ordinateurs portables.
Des attaquants ont dérobé des données de clients de Framework. Framework fabrique le Framework Laptop : un appareil évolutif pour lequel le client final peut facilement échanger des pièces. Chez nous, ce produit est aussi disponible.
Les pirates ont réussi à accéder à une feuille de calcul contenant les noms complets des clients, leurs adresses e-mail et tous les paiements en attente. Même si la nature de ces données n’est pas si délicate, elles peuvent être utilisées pour organiser des campagnes d’hameçonnage ciblées et réussies. Par exemple, un e-mail frauduleux demandant à un client de transférer le montant dû, avec l’e-mail avec toutes les informations correctes mais un numéro de compte bancaire trompeur.
Pas le PDG
Ce type de campagne fonctionne bien, car c’est ainsi que les criminels ont récupéré les informations. Par ingénierie sociale, ils ont pu convaincre un employé du cabinet comptable externe de Framework de transférer les informations confidentielles. La victime en question croyait qu’il a correspondu avec le PDG.
La réussite de l’attaque révèle deux aspects : le piratage est souvent plus humain que technique, et votre sécurité dépend tout à fait de votre fournisseur le plus mal sécurisé. Même si Framework a fait le ménage dans sa maison, en se fiant à un cabinet comptable moins sécurisé, elle s’est tout de même exposée à des risques. Le cabinet en question proposera dorénavant une formation aux employés qui traitent les données des clients.