Un pirate propose pour 2 000$ un accès aux données de l’opérateur FREE

Posted On 16 Juin 2021

Un pirate informatique propose pour 2000$ un présumé accès à un serveur de l’opérateur Free. Le pirate annonce être capable de lire les détails des abonnés. ZATAZ vous explique pourquoi c’est faux !

Entre les « annonces » de vente de données d’utilisateurs de Pole Emploi (ZATAZ a rencontré le pirate, nous en parlerons dans quelques heures), le piratage de cabinets d’avocats ou d’un assureur, sans parler des diffusions de données volées, quotidiennement, repérées par le Service Veille ZATAZ, voici venir la vente d’un présumé accès à un serveur de l’opérateur FREE. Le pirate explique que pour 2000$ US, il est capable de fournir l’accès à une injection SQL qui ouvrirait en grand les portes de la filiale d’Iliad.

Que penser de cette annonce d’infiltration ?

Dans les exemples fournis par le malveillant, deux bases de données. La première affiche 51 tables, comprenant aucunes informations sensibles, ou pensant permettre d’accéder à des données sensibles. La seconde base contient 57 tables. En lisant son contenu, j’ai tout de suite eu l’impression que le pirate avait « tapé » dans un espace dédié à la consultation du déploiement de la Fibre. J’ai pu y lire « cartographie, liste département, communes, offres, etc. » Bref, aussi sensible qu’un annuaire public, et ça fait cher payé l’annuaire.

Alertée, l’équipe de FREE a répondu dans la minute. Toujours aussi efficace. Si une injection SQL était bien présente, elle n’impactait qu’un espace dédié à la cartographie pour l’éligibilité de la fibre. Aucune données nominatives ou sensibles.

Les informations sensibles annoncées par le pirate ? Des adresses de rues disponibles en opendata. Des données que Free publie aussi via l’ARCEP.

De la petite frappe du numérique prêt à vendre père et mère pour quelques dollars

Un pirate dans la lignée de celui qui a tenté de vendre une base de données appartenant à Pôle Emploi, avant de se retracter.

De jeunes opportunistes du numérique, dont les données volées, ou récupérées au hasard, sont devenus ce salaire qu’ils ne peuvent avoir dans leur pays.

Le vendeur au 2 000$ est connu sous différents pseudonymes tels que Suraj ou encore niTshe01. Il commercialisait, il y a encore peu, des données volées dans des boutiques allemandes ou encore de russes.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr