Alors que plusieurs millions d’utilisateurs de Snapchat avaient été victimes d’un hacking en décembre 2013, au tour des salariés de la célèbre application de partage de photos et de vidéos d’être touchés eux-mêmes.
Comptes bancaires, fiches de paie, numéros de sécurité sociale, coordonnées postales… On ne sait pas au juste quelles informations ont été hackées, ni combien de salariés sont concernés, mais il s’agit de données sensibles du personnel. Au point que dimanche 28 février, Snapchat s’est fendu d’une lettre d’excuses à l’intention de ses employés sur son blog. » Un de nos employés a été victime d’un phishing et a révélé des informations de paiement sur nos salariés, indique l’application sur son blog. Un certain nombre de nos salariés ont maintenant leurs identités compromises.” “La bonne nouvelle, ajoute-elle, c’est que nos serveurs n’ont pas été touchés » et que “les données de nos utilisateurs n’ont en rien été affectées”.
Que s’est-il passé ? Le vendredi 26 févier, le service de paie a été visé par un mail de phishing, usurpant l’identité du CEO de Snapshat et demandant des informations de paiement sur les employés. “Malheureusement, l’email de phishing n’a pas été reconnu pour ce qu’il était – un scam – et les informations de paiement sur des salariés actuels et anciens ont été diffusés à l’extérieur.” C’est une attaque isolée, découverte dans les 4 heures suivant l’incident et rapportée au FBI, précise la lettre d’excuses. La société promet de renforcer ses programmes de formation à la sécurité et à la confidentialité des données dans les prochaines semaines.
Pour Martin Illés, évangéliste produits chez Balabit, éditeur européen de solutions de sécurité contextuelle « La fuite de données dont a été victime Snapchat est un nouvel exemple démontrant que pour les cybercriminels il est clairement plus facile de pirater un compte utilisateur légitime (dans ce cas, les identifiants du PDG) via un travail d’ingénierie sociale que d’écrire des exploits zero-day complexes ». Pour lui, la seule façon de se prémunir contre ce type d’attaque, qui passe par une usurpation d’identité via des identifiants personnels, est d’utiliser un outil d’analyse comportementale, capable d’observer et de détecter les changements dans le comportement de l’utilisateur, par exemple la connexion de l’utilisateur à son compte à un horaire inhabituel ou d’un endroit inhabituel, la vitesse de frappe sur son clavier ou d’exécution des commandes.
