Les hackers continuent de cibler les néobanques
La néobanque américaine Dave a récemment confirmé avoir été victime d’une cyberattaque. Des hackers ont en effet exploité une faille de sécurité dans son système informatique pour dérober les données personnelles de ses clients. Ces informations ont ensuite été publiées sur des forums accessibles au grand public. La fuite a touché 7,5 millions de clients, selon la direction.
Forte de plusieurs millions d’utilisateurs, Dave bénéficie d’un avantage significatif dans une comparaison néobanque sur le marché américain. Toutefois, cette grande visibilité rend la récente fuite de données d’autant plus dommageable pour l’enseigne. Les informations en question incluent notamment les noms, e-mails, téléphones, adresses et numéros de sécurité sociale des clients. En revanche, les pirates n’ont pas pu accéder aux coordonnées bancaires et aux numéros de carte de crédit de ses clients.
D’après la banque, les données volées n’ont pas servi à des fins malintentionnées pour l’instant. Les hackers se sont contentés de les diffuser sur des forums en ligne. Il s’agit toutefois de renseignements particulièrement sensibles.
Des hackers expérimentés
Selon le site spécialisé ZDNet, les auteurs de l’attaque ont diffusé les données personnelles des clients de Dave sur la plateforme RAID. Cette dernière est assez connue dans le monde des pirates informatiques. Après une opération réussie, les hackers y partagent les bases de données de leurs victimes.
L’incident survenu chez Dave a été revendiqué par un groupe appelé ShinyHunters. Ces hackers comptent à leur actif le piratage et la vente des données de plusieurs entreprises, telles que Mathway ou encore Tokopedia. Toutefois, contrairement aux attaques antérieures, les informations dérobées n’ont pas été commercialisées. Elles ont été partagées sur le site où elles ont pu être téléchargées gratuitement.
La néobanque a décidé de recourir aux services des experts de CrowdStrike à l’issue de cette mauvaise expérience. Spécialisé en cybersécurité, ce cabinet de consulting accompagnera la néobanque dans le renforcement de la protection de son réseau et de son système informatique en général.
Un incident préjudiciable à la banque
L’équipe de Dave a averti les clients, juste après la fuite. Les techniciens ont par ailleurs comblé rapidement les failles de sécurité ayant permis l’attaque. Selon la néobanque, la vulnérabilité venait du réseau d’un de ses anciens partenaires, Waydev.
Suite à ce piratage, l’établissement a réinitialisé les mots de passe de ses utilisateurs. Ils ont en effet été publiés sur une plateforme publique. Ces informations ont néanmoins été hachées en recourant à la méthode bcrypt. Il s’agit d’une technique permettant de protéger les données contre des malfaiteurs. Cela dit, la banque a préféré prendre des précautions supplémentaires, vu les circonstances.
Dave collabore actuellement avec la police et le FBI sur l’enquête. Par ailleurs, l’entreprise a alerté les autorités dès qu’elle a constaté l’attaque. En effet, il semble que les pirates aient envisagé de vendre les données de la néobanque.
