top of page

Travelex remonte (doucement) la pente

Travelex remonte (doucement) la pente

Mise à jour du 14/01 : Selon un communiqué relayé par ZDNet.com, Travelex commence à rétablir le fonctionnement de certains de ses systèmes. La société indique avoir fait de “bons progrès” vers le rétablissement des opérations. Plusieurs systèmes internes ont été remis en état de fonctionnement, et certains systèmes publics sont en train d’être rétablis.

La société affirme n’avoir aucune preuve d’un vol de données, mais les auteurs de l’attaque clament toujours le contraire. Dans un message posté sur un forum russe, le porte parole du groupe à l’origine de l’attaque menace Travelex de revendre les données volées “à n’importe qui” si la société refuse de payer la rançon. Selon le New York Times, le montant de la rançon exigée par les attaquants s’éléverait à 6 millions de dollars.

Article original :

La situation de Travelex empire de jour en jour.

Depuis une attaque de ransomware avant le Nouvel An, les services en ligne du fournisseur de devises sont restés hors ligne. Les sociétés tierces qui exploitent le système Travelex sont toujours bloquées. Les cybercriminels responsables de l’attaque ont demandé une rançon et ont posé un ultimatum. La colère des clients a explosé et maintenant, le bureau du commissaire à l’information (ICO) du Royaume-Uni attend d’être contacté.

Le bureau de change a déclaré à l’origine qu’un “virus logiciel” avait compromis ses systèmes, mais qu’il était “contenu” tandis que le personnel “travaillait à restaurer les systèmes et à reprendre les opérations normales le plus rapidement possible”.

publicité

Communication de crise

Pour répondre aux clients qui tentaient d’accéder à des services de change tiers, y compris ceux offerts par Tesco Bank, HSBC, Sainsbury’s Bank, Lloyds et Virgin Money, un message de “maintenance planifiée” a été mis en place pendant plusieurs jours. Dans le même temps, Travelex répondait à des requêtes sur les réseaux sociaux en évoquant un “virus logiciel”.

La police britannique a déclaré avoir été contactée le 2 janvier “concernant une attaque de ransomware signalée impliquant un bureau de change” et une enquête est en cours.

Sodinokibi est à l’origine de l’attaque. Travelex a confirmé que le groupe, également connu sous le nom de REvil, a réussi à chiffrer au moins certaines données clients.

“À ce jour, la société peut confirmer que même s’il y a eu un certain chiffrement des données, rien ne prouve que les données personnelles structurées des clients aient été chiffrées”, a déclaré la société. “Travelex n’a pas encore une image complète de toutes les données qui ont été affectées, mais il n’y a aucune preuve à ce jour que des données aient été exfiltrées.”

Si la situation était réellement contenue, il semble étrange que les opérateurs de ransomware à l’origine de l’incident de sécurité se sentent suffisamment confiants pour exiger un paiement de rançon, censément fixé à 6 millions de dollars en échange du décryptage, de la restauration des systèmes informatiques et de la préservation des données des clients. Les pirates prétendent posséder les dates de naissance, les informations de carte de crédit et les numéros d’assurance nationale (NI) des clients de Travelex.

Comme rapporté par la BBC, les attaquants prétendent avoir accédé aux systèmes Travelex il y a six mois, et avoir procédé à l’exfiltration de 5 Go d’informations clients.

L’année dernière, il a été découvert que Sodinokibi utilisait des vulnérabilités 0day de Windows, des méthodes peu communes pour maintenir sa persistance sur les systèmes infectés et un système de clefs maître, qui permet aux opérateurs de décrypter des fichiers, quelles que soient les clefs utilisées. Cela pourrait être une mauvaise nouvelle pour Travelex, si la variante en question est utilisable par ces clefs principales pour exfiltrer les données client chiffrées.

L’utilisation de ces clefs a conduit à de nouvelles spéculations selon lesquelles les développeurs pourraient proposer le malware sous forme de ransomware-as-a-service (RaaS).

Il y a quelques jours à peine, un avertissement a été envoyé aux entreprises utilisant des serveurs Pulse Secure VPN non corrigés, car il semble que les opérateurs de ransomware Sodinokibi ciblent activement ces systèmes.

Clients mecontents

Travelex a présenté ses excuses aux clients, qui doivent se rendre en succursale pour commander ou récupérer leur monnaie jusqu’à ce que la situation soit maîtrisée. Cependant, les problèmes en question ont provoqué la colère de certains clients.

Un certain nombre de clients se sont plaints d’avoir été “trompés” par le bureau de change, comme l’a noté The Independent. Certains utilisateurs, actuellement à l’étranger, n’ont pas pu accéder aux fonds placés sur les cartes ATM Travelex lorsque la cyberattaque a verrouillé les systèmes de l’entreprise.

Un client s’est plaint qu’il n’y avait eu “aucune aide, aucun service client”.

Travelex n’a publié aucune forme de calendrier pour la restauration des services. En vertu du Règlement général sur la protection des données (RGPD) de l’UE et des lois britanniques sur la protection des données, les entreprises sont désormais tenues d’informer l’ICO des fuites de données. Cependant, un porte-parole de l’ICO a déclaré que Travelex n’avait pas encore déposé un tel rapport.

“Les organisations doivent informer l’ICO dans les 72 heures après avoir pris connaissance d’une fuite de données personnelles, à moins que cela ne présente pas de risque pour les droits et libertés des personnes”, a ajouté le porte-parole. “Si une organisation décide qu’une violation n’a pas besoin d’être signalée, elle doit en garder la trace et pouvoir expliquer pourquoi elle n’a pas été signalée si nécessaire.”

Si l’incident est jugé suffisamment grave et que Travelex n’a pas correctement protégé les systèmes informatiques et les données clients qu’il détient, l’ICO peut infliger une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel. La décision de ne pas informer l’ICO dès que l’infraction potentielle a été constatée peut également devenir un facteur aggravant pour de futures amendes.

Source: ZDNet.com

0 vue0 commentaire

Comments


bottom of page