Réponse de Checkout.com à une cyberattaque : refus de payer une rançon et don à la recherche en cybersécurité
(checkout.com)- La plateforme de paiement Checkout.com a fait l’objet d’une tentative d’extorsion de la part d’un groupe cybercriminel, mais a refusé de payer la rançon et a choisi de faire don de ce montant à la recherche en cybersécurité
- Les attaquants ont obtenu un accès non autorisé à un ancien système tiers de stockage de fichiers dans le cloud utilisé avant 2020, et ont récupéré une partie des données
- Checkout.com précise que sa plateforme de traitement des paiements, les fonds des marchands et les informations de carte n’ont absolument pas été affectés
- L’entreprise estime que moins de 25 % de l’ensemble des marchands pourraient être concernés et travaille avec les forces de l’ordre et les autorités de régulation
- Des dons ont été faits à Carnegie Mellon University et au University of Oxford Cyber Security Center, réaffirmant que la transparence et la confiance sont des valeurs centrales du secteur
Aperçu de l’incident
- Checkout.com a été contactée la semaine dernière par un groupe criminel appelé “ShinyHunters”, qui a affirmé avoir obtenu des données liées à Checkout.com et a exigé une rançon
- L’enquête a confirmé que les attaquants avaient obtenu un accès non autorisé à un système tiers de stockage de fichiers dans le cloud utilisé avant 2020
- Ce système servait à stocker des documents opérationnels internes et des documents d’onboarding des marchands
- Checkout.com a reconnu comme une erreur le fait que ce système n’ait pas été correctement mis hors service
- L’entreprise a précisé que cet incident n’avait pas affecté sa plateforme de traitement des paiements et que les attaquants n’avaient pas pu accéder aux fonds des marchands ni aux numéros de carte
Impact et mesures de réponse
- Checkout.com estime actuellement que moins de 25 % des marchands pourraient être affectés
- L’entreprise est en train de déterminer quels marchands ont été touchés et de les contacter individuellement, tout en coopérant avec les forces de l’ordre et les autorités de régulation compétentes
- Checkout.com met en avant la transparence et la responsabilité, et affirme sa volonté de préserver la confiance de ses partenaires et de ses clients
Refus de la rançon et décision de faire un don
- Checkout.com a déclaré qu’elle ne paierait pas de rançon aux criminels
- À la place, l’entreprise a donné le montant réclamé lors de l’attaque sous forme de soutien à la recherche contre la cybercriminalité à Carnegie Mellon University et au University of Oxford Cyber Security Center
- L’entreprise a indiqué vouloir transformer cet incident en catalyseur d’investissement pour la sécurité à l’échelle du secteur
Position et engagements de l’entreprise
- Checkout.com a déclaré que « la sécurité, la transparence et la confiance sont les fondements du secteur », en ajoutant qu’elle reconnaît son erreur et protégera ses marchands
- L’entreprise a insisté sur le fait qu’elle investira pour lutter contre les activités criminelles qui menacent l’économie numérique
- Les marchands peuvent demander de l’aide via leurs contacts habituels chez Checkout
Conclusion
- À travers cet incident, Checkout.com a affiché une volonté ferme de répondre sans concession aux tentatives de cyberextorsion,
tout en cherchant à renforcer les défenses de l’ensemble du secteur grâce à un don à la recherche en sécurité - L’entreprise se concentre sur le rétablissement de la confiance des marchands par une communication transparente et des mesures responsables
1 commentaires
Avis Hacker News
Il y a quelques années, des membres de ShinyHunters ont été arrêtés par le FBI.
J’ai été dans la même prison que l’un d’eux, Sebastian Raoult, et nous avons eu pas mal de conversations.
L’acharnement dont ils faisaient preuve pour mener des attaques de phishing à grande échelle était assez stupéfiant. C’est comme ça qu’ils obtenaient la plupart de leurs accès, et sinon ils cherchaient des endpoints d’API sur GitHub pour y trouver des clés divulguées.
Il n’aimait pas beaucoup les scanners automatiques de GitHub.
Article lié : communiqué du département de la Justice américain
Donc ce n’est pas surprenant qu’ils aient obtenu des accès via l’ingénierie sociale.
Ce qui est intéressant, c’est qu’eux aussi peuvent être des victimes de l’ingénierie sociale. Ceux qui attirent de jeunes hackers en créant des exploits pour les jeux en ligne finissent par mettre en place un système plus sûr pour gagner de l’argent.
Je me demande s’ils utilisaient un hébergement illégal, ou s’ils ont été retrouvés via un prestataire de paiement.
J’aimerais aussi savoir si le site faisait comme Sportsurge en ne fournissant que des liens, ou s’il hébergeait réellement les flux.
Dans les excuses de l’entreprise :
Plus qu’une vraie excuse, ce qui compte, c’est l’analyse de la cause racine et les mesures pour éviter que ça se reproduise.
Pour regagner la confiance, il faut révéler combien d’autres systèmes obsolètes géraient encore des données clients, et qui bloquait le budget.
Une véritable excuse doit se voir dans une compensation, pas seulement dans les mots.
Si j’étais client, je serais en colère, mais je pense que cette réponse était la meilleure possible dans les circonstances.
Il faut de la responsabilité juridique, des remboursements et un renforcement de la régulation.
J’aimerais qu’ils publient aussi les résultats d’audit et le postmortem pour plus de transparence.
Le don ressemble davantage à un geste de façade qu’à une amélioration concrète de la sécurité.
Il est plus important de respecter les bonnes pratiques de sécurité déjà connues. Ils auraient dû investir cet argent dans le recrutement de responsables sécurité ou le renforcement des systèmes.
(À noter : le piratage a eu lieu sur un système legacy qui n’avait pas été mis hors service.)
Ce n’est pas juste de l’affichage vertueux, c’est aussi un signal clair : « nous ne cédons pas aux demandes de rançon ».
S’ils avaient payé la rançon, cela aurait probablement encouragé d’autres attaques.
Même en perdant de l’argent, choisir de l’utiliser dans une direction utile est une décision sensée.
Il y a l’effet pervers de financer des criminels, mais si l’on ne paie pas, les clients risquent parfois d’en subir davantage les conséquences.
La formule « les attaquants ont accédé via un système de stockage cloud tiers » donne un peu l’impression d’un rejet de responsabilité.
Même quand ce genre d’incident arrive, on s’en moque pendant une semaine puis on passe à autre chose. Au final, presque rien ne change en profondeur.
Je pense que cette réponse publique et ce don sont des décisions courageuses.
Une sécurité parfaite est impossible, et comme le postmortem n’est pas encore sorti, il est difficile de condamner trop vite.
Le fait qu’ils n’aient rien caché et qu’ils aient choisi une approche d’intérêt général via un don au monde académique mérite d’être salué.
La phrase « système utilisé pour les documents opérationnels internes et les supports d’onboarding des marchands » laisse penser qu’il s’agit probablement de documents collectés dans le cadre du processus KYC.
Cela pourrait donc inclure des documents d’entreprise ou des scans de passeports et de pièces d’identité.
Ce type de données présente un risque élevé d’usurpation d’identité et peut rester exploitable pendant des années.
Depuis le RGPD, ces données sensibles sont conservées dans des zones de sécurité séparées.
Il est plus probable qu’il s’agisse simplement d’un dépôt de PDF ou de questionnaires utilisé par l’équipe d’onboarding.
Même si « moins de 25 % des clients ont été affectés », si j’en faisais partie, il me serait difficile d’être satisfait par un geste sans compensation.
“OXCIS” signifie Oxford Centre for Islamic Studies, donc ce n’est probablement pas ça.
Le véritable bénéficiaire semble être le centre de recherche en cybersécurité de l’université d’Oxford.
D’après mon expérience dans la fintech, ce qui a fuité cette fois ressemble à des documents KYB de marchands.
Il s’agit de pièces utilisées pour l’évaluation du risque commercial, moins sensibles que des informations de paiement ou un PAN.
Bien sûr, un piratage reste une mauvaise chose, mais ce type de données est parfois déjà public.
J’apprécie le fait que l’entreprise l’ait divulgué de façon transparente.
Il existe donc aussi un risque d’usurpation d’identité visant des personnes fortunées.