Deux sociétés de formation et de certification en cybersécurité ont été touchées par des violations de données. SANS Institute a été exécuté via le phishing et ISC2 via un compartiment S3 mal configuré.
Certains sur Twitter ont utilisé l’adage « les cordonniers sont les pires chaussures » pour résumer les deux cas de violation de données au SANS Institute et à l’ISC2. Le premier est un acteur international de la formation et de la certification en cybersécurité, tandis que le second est également un opérateur important dans le domaine de la certification (CISSP, CSP, CAP).
Employé de l’Institut SANS victime de phishing
Pour SANS Institute, la violation de données était le résultat d’une attaque de phishing par l’un de ses employés. Le compromis a été découvert le 6 août lors de l’analyse de la configuration d’un compte de messagerie. Dans un message, l’organisation précise qu’elle n’a identifié qu’un seul compte endommagé. Mais l’attaquant a configuré une règle pour transférer tous les e-mails reçus de ce compte vers une adresse externe inconnue. Il a également ajouté un module complémentaire malveillant pour Office 365 (probablement une application OAuth).
Au total, le pirate a réussi à détourner 513 courriels, dont certains contiennent un total de 28 000 données personnelles de membres de l’Institut SANS. Les informations n’incluent pas les mots de passe, mais les adresses e-mail, les noms complets, les numéros de téléphone, les titres, les adresses physiques. En tant que spécialiste de la formation à la cybersécurité, SANS a mobilisé une équipe d’experts légistes pour enquêter sur cette affaire. À des fins éducatives, une webémission est organisée par l’organisation pour tirer les leçons de ce cas.
ISC2, victime collatérale d’un compartiment S3 mal configuré
Un autre acteur dans la tourmente, ISC2 (International Information Systems Security Certification Consortium), a subi une mauvaise configuration d’un compartiment AWS S3. Deux chercheurs de VPN Mentor, Noam Rotem et Ran Locar, ont trouvé un seau contenant 5,5 millions de fichiers et 343 Go de données. Cette découverte a été faite le 20 décembre 2019, mais n’a été révélée que cette semaine pour respecter les délais de notification des entreprises et organisations concernées.
Le compartiment S3 mal configuré appartenait à InmotionNow, un éditeur de logiciel de gestion de projet, et l’un des clients est le consortium ISC2. Les chercheurs ne fournissent pas de détails sur les informations contenues dans le seau, mais ils précisent le type de données (tableau analytique, supports de formation, demande client, stratégie marketing …).