Văzusem zilele trecute pe Linkedin niște informații legate de faptul că grupul HellCat ar fi spart Orange România și au extras date importante despre angajați și clienți. Azi am văzut și că BleepingComputer a confirmat că un hacker sub pseudonimul Rey, membru al HellCat, a publicat detalii despre faptul că a reușit să extragă din Orange Group (prin filiala din România) vreo 12000 de documente importante, printre care se numără datele angajaților (foști și actuali), peste 380000 de adrese de email (incluzând unele ale clienților), cod sursă, contracte, date de card ale clienților din România, facturi etc. și ar fi încercat să ceară bani pentru a nu le face publice.
Treaba s-a întâmplat în weekend și înțeleg că Orange Group nu a acceptat să plătească, prin urmare datele au fost făcute publice, iar acum Orange depune eforturi semnificative pentru a minimiza impactul incidentului.
Conform BleepingComputer, autorul ar fi declarat că a lucrat singur și nu ca parte a grupului HellCat. Undeva la 12000 de fișiere (cam 6.5GB) ar fi fost extrase sâmbătă, din rețeaua Orange, până când oamenii de la securitate au primit alerte și au putut să intervină.
Interesant mi se pare că modalitatea prin care hacker-ul a ajuns în rețeaua Orange pare să fi fost folosirea unor date de acces compromise și apoi exploatarea unor vulnerabilități din platforma Jira a Atlassian, folosită de Orange (ca și de multe alte companii) pentru urmărirea/raportarea statusului muncii pe diverse task-uri.
Tot BP menționează și că Orange a confirmat faptul că problema a apărut la filiala din România, pe o platformă secundară. Adresele de email publicate par a fi ale clienților Yoxo (deci nu ale celor cu abonamente), probabil și datele de carduri fiind tot ale lor. Asta mă duce cu gândul că platforma care a putut fi spartă este de fapt site-ul Yoxo sau ceva legat de el.
E interesant că Orange nu a dat niciun comunicat oficial (sau nu l-am primit eu) în afară de comentariile date BleepingComputer. Poate că lucrează la un anunț oficial ce ar trebui să vină în curând.
Ce puteți face dacă bănuiți că datele voastre ar fi putut fi compromise în acest atac?
În primul rând schimbați-vă parola de pe contul Orange și puneți limită (dacă nu aveți încă) la plățile pe internet cu cardul ce poate să fie afectat.
Și după ce faceți asta, mergeți pe site-ul Have I been pwned? – care tocmai a adăugat aici datele legate de acest atac (sunt 556557 conturi cu adrese de email, numere parțiale de pe carduri de crdit și numere de telefon) – și verificați dacă aveți adresa de email prin baza de date, iar dacă e, încercați să schimbați rapid parolele pe site-urile unde folosiți acel email pe post de cont!
