1 points par GN⁺ 2025-11-14 | 1 commentaires | Partager sur WhatsApp
  • La plateforme de paiement Checkout.com a fait l’objet d’une tentative d’extorsion de la part d’un groupe cybercriminel, mais a refusé de payer la rançon et a choisi de faire don de ce montant à la recherche en cybersécurité
  • Les attaquants ont obtenu un accès non autorisé à un ancien système tiers de stockage de fichiers dans le cloud utilisé avant 2020, et ont récupéré une partie des données
  • Checkout.com précise que sa plateforme de traitement des paiements, les fonds des marchands et les informations de carte n’ont absolument pas été affectés
  • L’entreprise estime que moins de 25 % de l’ensemble des marchands pourraient être concernés et travaille avec les forces de l’ordre et les autorités de régulation
  • Des dons ont été faits à Carnegie Mellon University et au University of Oxford Cyber Security Center, réaffirmant que la transparence et la confiance sont des valeurs centrales du secteur

Aperçu de l’incident

  • Checkout.com a été contactée la semaine dernière par un groupe criminel appelé “ShinyHunters”, qui a affirmé avoir obtenu des données liées à Checkout.com et a exigé une rançon
  • L’enquête a confirmé que les attaquants avaient obtenu un accès non autorisé à un système tiers de stockage de fichiers dans le cloud utilisé avant 2020
    • Ce système servait à stocker des documents opérationnels internes et des documents d’onboarding des marchands
    • Checkout.com a reconnu comme une erreur le fait que ce système n’ait pas été correctement mis hors service
  • L’entreprise a précisé que cet incident n’avait pas affecté sa plateforme de traitement des paiements et que les attaquants n’avaient pas pu accéder aux fonds des marchands ni aux numéros de carte

Impact et mesures de réponse

  • Checkout.com estime actuellement que moins de 25 % des marchands pourraient être affectés
  • L’entreprise est en train de déterminer quels marchands ont été touchés et de les contacter individuellement, tout en coopérant avec les forces de l’ordre et les autorités de régulation compétentes
  • Checkout.com met en avant la transparence et la responsabilité, et affirme sa volonté de préserver la confiance de ses partenaires et de ses clients

Refus de la rançon et décision de faire un don

  • Checkout.com a déclaré qu’elle ne paierait pas de rançon aux criminels
  • À la place, l’entreprise a donné le montant réclamé lors de l’attaque sous forme de soutien à la recherche contre la cybercriminalité à Carnegie Mellon University et au University of Oxford Cyber Security Center
  • L’entreprise a indiqué vouloir transformer cet incident en catalyseur d’investissement pour la sécurité à l’échelle du secteur

Position et engagements de l’entreprise

  • Checkout.com a déclaré que « la sécurité, la transparence et la confiance sont les fondements du secteur », en ajoutant qu’elle reconnaît son erreur et protégera ses marchands
  • L’entreprise a insisté sur le fait qu’elle investira pour lutter contre les activités criminelles qui menacent l’économie numérique
  • Les marchands peuvent demander de l’aide via leurs contacts habituels chez Checkout

Conclusion

  • À travers cet incident, Checkout.com a affiché une volonté ferme de répondre sans concession aux tentatives de cyberextorsion,
    tout en cherchant à renforcer les défenses de l’ensemble du secteur grâce à un don à la recherche en sécurité
  • L’entreprise se concentre sur le rétablissement de la confiance des marchands par une communication transparente et des mesures responsables

1 commentaires

 
GN⁺ 2025-11-14
Avis Hacker News
  • Il y a quelques années, des membres de ShinyHunters ont été arrêtés par le FBI.
    J’ai été dans la même prison que l’un d’eux, Sebastian Raoult, et nous avons eu pas mal de conversations.
    L’acharnement dont ils faisaient preuve pour mener des attaques de phishing à grande échelle était assez stupéfiant. C’est comme ça qu’ils obtenaient la plupart de leurs accès, et sinon ils cherchaient des endpoints d’API sur GitHub pour y trouver des clés divulguées.
    Il n’aimait pas beaucoup les scanners automatiques de GitHub.
    Article lié : communiqué du département de la Justice américain

    • En cybersécurité, l’humain est souvent le maillon faible.
      Donc ce n’est pas surprenant qu’ils aient obtenu des accès via l’ingénierie sociale.
      Ce qui est intéressant, c’est qu’eux aussi peuvent être des victimes de l’ingénierie sociale. Ceux qui attirent de jeunes hackers en créant des exploits pour les jeux en ligne finissent par mettre en place un système plus sûr pour gagner de l’argent.
    • C’est triste de finir en prison fédérale pour avoir géré un site de streaming sportif.
      Je me demande s’ils utilisaient un hébergement illégal, ou s’ils ont été retrouvés via un prestataire de paiement.
      J’aimerais aussi savoir si le site faisait comme Sportsurge en ne fournissant que des liens, ou s’il hébergeait réellement les flux.
    • Je me demande s’il n’aimait pas les scanners GitHub parce qu’ils étaient trop efficaces et gênaient leurs activités, ou parce qu’il les trouvait incompétents.
    • J’aimerais qu’on m’explique plus concrètement ce que signifie « l’acharnement pour le phishing à grande échelle est stupéfiant ».
  • Dans les excuses de l’entreprise :

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    J’ai vraiment aimé ce passage. Même si ça a été écrit par un LLM ou une équipe RP, ça donnait l’impression d’une phrase sincère.

    • Ce genre de message d’excuses me fait toujours penser à la parodie de BP dans South Park.
      Plus qu’une vraie excuse, ce qui compte, c’est l’analyse de la cause racine et les mesures pour éviter que ça se reproduise.
      Pour regagner la confiance, il faut révéler combien d’autres systèmes obsolètes géraient encore des données clients, et qui bloquait le budget.
      Une véritable excuse doit se voir dans une compensation, pas seulement dans les mots.
    • Dire “We are sorry.” est une formulation rare pour une entreprise, donc ça paraît assez rafraîchissant.
    • Je pense que “rebuilding your trust” serait plus approprié que “We are fully committed to maintaining your trust.”
    • Une réponse ferme du type « nous verserons 500 000 dollars à toute personne fournissant des informations menant à l’arrestation des auteurs » pourrait au contraire inspirer confiance.
    • J’ai aimé qu’il n’y ait pas de formule bateau comme “due to an abundance of caution”. Globalement, ça ressemble à une réponse exemplaire.
  • Si j’étais client, je serais en colère, mais je pense que cette réponse était la meilleure possible dans les circonstances.

    • Réaction rapide, divulgation volontaire de l’entreprise, excuses sincères, explication de l’étendue des dommages : la plupart des cases sont cochées.
    • Mais si tout se termine par « nous sommes désolés », le secteur finira par subir un désastre encore plus grand.
      Il faut de la responsabilité juridique, des remboursements et un renforcement de la régulation.
    • On parle de « réponse rapide », mais ils n’ont pas détecté le piratage eux-mêmes, et n’ont communiqué qu’après avoir été contactés par l’attaquant, donc je doute que ce soit vraiment si rapide.
    • Du point de vue du client, le choix de payer la rançon pour empêcher la fuite des données aurait peut-être été préférable.
      J’aimerais qu’ils publient aussi les résultats d’audit et le postmortem pour plus de transparence.
  • Le don ressemble davantage à un geste de façade qu’à une amélioration concrète de la sécurité.
    Il est plus important de respecter les bonnes pratiques de sécurité déjà connues. Ils auraient dû investir cet argent dans le recrutement de responsables sécurité ou le renforcement des systèmes.
    (À noter : le piratage a eu lieu sur un système legacy qui n’avait pas été mis hors service.)

    • Moi, je vois ce don comme une provocation envers les criminels. Le message, c’est : « on a de l’argent, mais pas pour vous ».
      Ce n’est pas juste de l’affichage vertueux, c’est aussi un signal clair : « nous ne cédons pas aux demandes de rançon ».
    • Malgré tout, dans une situation comme celle-ci, envoyer un signal positif n’est pas une mauvaise chose.
      S’ils avaient payé la rançon, cela aurait probablement encouragé d’autres attaques.
      Même en perdant de l’argent, choisir de l’utiliser dans une direction utile est une décision sensée.
    • À ce stade, je pense quand même que l’affichage de vertu vaut mieux que l’affichage de vice.
    • L’expression ‘Virtue signaling’ sert souvent à critiquer un comportement hypocrite, mais ici, le fait de ne pas négocier avec des criminels et de soutenir la recherche en sécurité va dans le bon sens à long terme.
    • Cela dit, du point de vue du client, payer la rançon pourrait aussi réduire le préjudice.
      Il y a l’effet pervers de financer des criminels, mais si l’on ne paie pas, les clients risquent parfois d’en subir davantage les conséquences.
  • La formule « les attaquants ont accédé via un système de stockage cloud tiers » donne un peu l’impression d’un rejet de responsabilité.

    • Je me demande dans quelle mesure la réponse de l’entreprise aurait changé si les attaquants avaient mis la main sur des données encore plus sensibles.
    • La plupart des bases de code d’entreprise restent pleines de technologies legacy.
      Même quand ce genre d’incident arrive, on s’en moque pendant une semaine puis on passe à autre chose. Au final, presque rien ne change en profondeur.
  • Je pense que cette réponse publique et ce don sont des décisions courageuses.
    Une sécurité parfaite est impossible, et comme le postmortem n’est pas encore sorti, il est difficile de condamner trop vite.
    Le fait qu’ils n’aient rien caché et qu’ils aient choisi une approche d’intérêt général via un don au monde académique mérite d’être salué.

    • Sur Hacker News, il y a souvent une tendance au cynisme qui tient presque de la supériorité intellectuelle.
  • La phrase « système utilisé pour les documents opérationnels internes et les supports d’onboarding des marchands » laisse penser qu’il s’agit probablement de documents collectés dans le cadre du processus KYC.
    Cela pourrait donc inclure des documents d’entreprise ou des scans de passeports et de pièces d’identité.
    Ce type de données présente un risque élevé d’usurpation d’identité et peut rester exploitable pendant des années.

    • Mais il est peu probable que des scans de passeports aient été stockés avec des documents KYB ordinaires.
      Depuis le RGPD, ces données sensibles sont conservées dans des zones de sécurité séparées.
      Il est plus probable qu’il s’agisse simplement d’un dépôt de PDF ou de questionnaires utilisé par l’équipe d’onboarding.
  • Même si « moins de 25 % des clients ont été affectés », si j’en faisais partie, il me serait difficile d’être satisfait par un geste sans compensation.

  • “OXCIS” signifie Oxford Centre for Islamic Studies, donc ce n’est probablement pas ça.
    Le véritable bénéficiaire semble être le centre de recherche en cybersécurité de l’université d’Oxford.

    • Cyber Security Oxford est une communauté de recherche en cybersécurité rattachée à l’université d’Oxford.
  • D’après mon expérience dans la fintech, ce qui a fuité cette fois ressemble à des documents KYB de marchands.
    Il s’agit de pièces utilisées pour l’évaluation du risque commercial, moins sensibles que des informations de paiement ou un PAN.
    Bien sûr, un piratage reste une mauvaise chose, mais ce type de données est parfois déjà public.
    J’apprécie le fait que l’entreprise l’ait divulgué de façon transparente.

    • Mais les documents KYB contiennent souvent aussi des passeports ou identifiants fiscaux des bénéficiaires effectifs finaux ou des membres de la direction.
      Il existe donc aussi un risque d’usurpation d’identité visant des personnes fortunées.