Le géant de la réservation de voyages Sabre a déclaré qu’il enquêtait sur des allégations de cyberattaque après qu’une tranche de fichiers prétendument volés à l’entreprise soit apparue sur le site de fuite d’un groupe d’extorsion.
« Sabre est au courant des allégations d’exfiltration de données faites par le groupe menaçant et nous enquêtons actuellement pour déterminer leur validité », a déclaré la porte-parole de Sabre, Heidi Castle, dans un e-mail.
Le groupe Dunghill Leak a revendiqué la responsabilité de cette apparente cyberattaque dans une liste publiée sur son site de fuite sur le dark web, affirmant qu’elle avait récupéré environ 1,3 téraoctets de données, notamment des bases de données sur les ventes de billets et le chiffre d’affaires des passagers, les données personnelles des employés et les informations financières de l’entreprise.
Le groupe a publié une partie des fichiers qu’ils auraient volés, affirmant que le cache complet serait « bientôt disponible ».
Sabre est un système de réservation de voyages et un fournisseur majeur de données sur les passagers aériens et les réservations, dont les logiciels et les données sont utilisés pour alimenter les réservations, les enregistrements et les applications des compagnies aériennes et des hôtels. De nombreuses compagnies aériennes et chaînes hôtelières américaines font confiance à la technologie de l’entreprise.
Les captures d’écran vues par TechCrunch montrent plusieurs noms de bases de données relatives aux détails de réservation et de facturation contenant des dizaines de millions d’enregistrements, bien qu’on ne sache pas si les pirates ont eux-mêmes accès aux bases de données.
Certaines des captures d’écran vues contenaient des enregistrements relatifs aux employés, notamment leurs adresses e-mail et leurs lieux de travail. Une capture d’écran contenait les noms des employés, leurs nationalités, leurs numéros de passeport et de visa. Plusieurs autres captures d’écran montrent plusieurs formulaires américains I-9 d’employés autorisés à travailler aux États-Unis. Plusieurs passeports trouvés dans la cache correspondaient à des employés de Sabre, dont un vice-président de Sabre, selon leurs profils LinkedIn.
On ne sait pas quand la violation présumée a eu lieu, mais les captures d’écran publiées par le groupe d’extorsion montrent des données qui semblent être aussi récentes que juillet 2022.
On sait peu de choses sur Dunghill Leak, sauf qu’il s’agit d’un groupe de ransomware et d’extorsion relativement nouveau qui a évolué ou a été renommé à partir du ransomware Dark Angels, issu du ransomware Babuk, selon les chercheurs en sécurité de Malwarebytes. À ce jour, Dunghill Leak a revendiqué le mérite d’avoir ciblé le fabricant de jeux à pièces Incredible Technologies, le géant de l’alimentation Sysco et le fabricant de produits automobiles Gentex.
Il n’est pas rare que les groupes de rançongiciels et d’extorsion renoncent complètement au cryptage des fichiers, se concentrant plutôt sur la menace de publier des données sensibles si une rançon n’est pas payée. Le FBI et les forces de l’ordre internationales encouragent depuis longtemps les victimes de ransomwares et d’extorsions à ne pas payer la rançon.
Sabre a signalé pour la dernière fois un incident de sécurité en 2017, après que des pirates informatiques aient supprimé un million de cartes de crédit de son système de réservation d’hôtel. La société a payé 2,4 millions de dollars pour régler les allégations portées par plusieurs États à la suite de cette violation.
Contactez Zack Whittaker sur Signal et WhatsApp au +1 646-755-8849, ou par e-mail. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.