Une vulnérabilité VPN a été identifiée comme la clé derrière une attaque de ransomware contre la Law Society of Singapore.
L’attaque s’est produite le 27 janvier 2021 et a mis en danger les données personnelles de plus de 16 000 membres, en utilisant un bogue dans le service VPN pour obtenir des informations d’identification d’accès si elles ne sont pas corrigées.
L’enquête menée par la Commission de protection des données personnelles (PDPC) de Singapour a également reconnu la société coupable d’avoir utilisé un mot de passe facile à deviner et de ne pas avoir effectué les examens de sécurité périodiques requis par la loi. L’organisation dispose désormais de 60 jours pour finaliser un audit interne et corriger toute faille de sécurité.
Violation des obligations de protection des données
Bien que les informations personnelles de nombreux membres, y compris les noms complets, les adresses résidentielles et la date de naissance, aient été divulguées, le sous-commissaire du PDPC, Zee Kin Yeong, a conclu que : « Il n’y avait aucune preuve d’exfiltration ou d’utilisation abusive des données personnelles des membres et du (Law Society ) a pris des mesures correctives rapides en réponse à l’incident », a déclaré Channel News Asia (s’ouvre dans un nouvel onglet) signalé.
Le logiciel antivirus de l’entreprise a en fait détecté l’attaque le même jour. Il a rapidement supprimé le compte de l’acteur menaçant utilisé pour injecter le logiciel malveillant, tout en restaurant les serveurs sur des sauvegardes de données antérieures.
Comme l’a révélé le fournisseur de VPN Fortinet, les développeurs ont informé leurs clients de la vulnérabilité du VPN le 24 mai 2019. Cependant, aucune mise à jour n’était disponible pour corriger le bogue avant que l’incident ne se produise.
Pour cette raison, M. Yeong a dégagé la Law Society de toute responsabilité en la matière.
Les ennuis pour les organisations représentant tous les avocats de Singapour ne se sont cependant pas arrêtés là.
Le PDPC a conclu, en fait, que la Société avait enfreint l’article 24 de la loi nationale sur la protection des données personnelles pour avoir manqué à certaines de ses obligations en matière de protection des données.
Plus précisément, il était coupable d’utiliser un mot de passe faible – « Welcome2020lawsoc » – pour le compte piraté. Pire encore, cela a été utilisé pendant plus de 90 jours alors que la loi exigeait qu’il soit changé tous les trois mois comme exigence minimale. Le Barreau a également été reconnu coupable de ne pas avoir effectué d’examen de sécurité au cours des trois années précédant l’attaque.
Malgré la gravité des failles de sécurité, celles-ci n’étaient pas directement liées à l’attaque du ransomware. Le Barreau finalise actuellement un audit interne pour renforcer sa posture de sécurité.
« Au cours des deux dernières années depuis l’incident, nous avons déjà pris un certain nombre de mesures proactives pour améliorer notre infrastructure de cybersécurité », a déclaré la Société dans un communiqué officiel.
« Celles-ci incluent la mise en œuvre d’une authentification multifacteur pour tous les accès VPN et le renforcement de notre équipe informatique interne pour traiter les questions de cybersécurité. »
