Une fuite chez ADT a exposé les données de 5,5 millions de personnes

ADT affirme que des attaquants ont accédé à des informations personnelles concernant 5,5 millions de personnes dans le cadre d'une intrusion détectée le 20 avril, selon BleepingComputer et le service Have I Been Pwned. L'entreprise indique que les données exposées comprenaient les noms, numéros de téléphone et adresses, avec pour une petite partie des victimes les dates de naissance et les quatre derniers chiffres du numéro de sécurité sociale ou de l'identifiant fiscal.

L'enjeu dépasse le simple volume de données volées. ADT vend de la sécurité domestique, donc la confiance fait partie intégrante du produit. Même si l'entreprise affirme qu'aucune donnée de paiement n'a été consultée et que les systèmes de sécurité des clients n'ont pas été touchés, une fuite chez un acteur de la protection du domicile a un impact particulier. Les clients ne confient pas seulement une adresse email, mais des informations liées à leur domicile et à leur mode de protection.

D'après BleepingComputer, les attaquants disent avoir compromis le compte Okta d'un employé via une attaque de vishing, avant d'utiliser cet accès pour atteindre une instance Salesforce. Ce schéma devient classique dans les attaques visant les grandes entreprises: voler une identité, pivoter dans des applications SaaS, puis extraire des volumes importants de données sans compromettre le produit principal.

La leçon la plus importante est que la sécurité des identités reste un point faible pour de nombreuses grandes entreprises. Si les détails rapportés se confirment, il s'agit moins d'une attaque sophistiquée contre les systèmes surveillés d'ADT que d'un rappel sur les risques liés aux help desks, aux flux SSO et à l'administration SaaS. Comme l'a d'abord rapporté BleepingComputer, l'incident est aussi relié au groupe ShinyHunters.