Un portail de cybersécurité du FBI a été piraté, avec des informations de contact sur des milliers de ses membres divulguées sur un forum cybercriminel illicite.
On pense que plus de 80 000 utilisateurs du portail InfraGard ont maintenant vu leurs coordonnées divulguées, les pirates envoyant des messages aux membres directement sous un compte se faisant passer pour un PDG approuvé par le FBI dans le domaine des finances.
InfraGard travaille avec les entreprises pour partager des informations relatives aux cyberattaques et autres menaces.
PDG posant
Les noms et coordonnées de ces membres ont été mis en vente sur Breached, un nouveau forum cybercriminel.
InfraGard contrôle ses membres, composés de personnes clés dans des entreprises de cybersécurité qui sont engagées pour gérer la sécurité des institutions nationales, telles que l’eau, les services publics, les transports, les soins de santé et l’énergie nucléaire. L’objectif est d’éduquer le FBI et les entreprises sur les menaces de cybersécurité en échangeant des informations.
En réponse à l’affaire, le FBI a déclaré que « c’est une situation en cours, et nous ne sommes pas en mesure de fournir des informations supplémentaires pour le moment ».
KrebsSurSécurité (s’ouvre dans un nouvel onglet) a pris contact avec le vendeur sur Breached, qui a affirmé avoir demandé un compte InfraGard sous le couvert d’un véritable PDG d’une grande société de solvabilité.
Ils ont utilisé leur nom, leur numéro de sécurité sociale, leur adresse e-mail (qu’ils ont également prétendu avoir piratée) et leur numéro de téléphone pour remplir la demande. Le vrai PDG a déclaré à KrebsOnSecurity qu’ils n’avaient jamais reçu de contact du FBI au sujet de l’application.
Bien qu’il ne s’attendait pas à être accepté, le pirate a reçu un e-mail d’InfraGard début décembre indiquant qu’il avait bien été approuvé.
InfraGard nécessite une authentification multifacteur, mais les utilisateurs peuvent choisir de recevoir un code à usage unique par e-mail au lieu de SMS. Le pirate informatique a déclaré que s’ils avaient été contraints d’utiliser uniquement un téléphone, ils auraient été contrecarrés puisqu’ils ont utilisé le vrai numéro de téléphone du PDG, auquel ils n’avaient pas accès.
Pour voler la base de données, ils ont affirmé avoir simplement exploité une API dans le portail qui aide les membres à se connecter les uns aux autres. Ils ont utilisé un script Python pour en récupérer les données, qui contenaient les informations de chaque utilisateur.
Bien que les informations qu’ils ont obtenues soient plutôt basiques et parfois incomplètes, le pirate a affirmé que son véritable motif était de continuer à se faire passer pour un PDG et de contacter d’autres membres d’InfraGard, peut-être dans l’espoir d’extraire des informations plus sensibles.
L’administrateur du forum Breached est Pompompurin, qui a une histoire avec le FBI. L’année dernière, ils ont exploité une vulnérabilité dans un autre portail de partage d’informations entre les forces de l’ordre locales de l’agence, obtenant un accès pour envoyer de grandes quantités de spams à partir d’adresses e-mail et d’adresses IP légitimes du FBI.