Les comptes de plus de trois millions d’utilisateurs du service de planification de rendez-vous FlexBooker basé aux États-Unis ont été volés lors d’une attaque avant les vacances et sont désormais échangés sur des forums de pirates.
Les mêmes intrus proposent des bases de données prétendant provenir de deux autres entités : l’organisation de médias de course Racing.com et le logiciel de gestion de cas rediCASE de Redbourne Group, tous deux australiens.
Infractions avant les vacances
Les trois violations se seraient produites quelques jours avant Noël et l’intrus a publié les données sur un forum de hackers.
Le dernier vidage de données semble provenir de FlexBooker, un outil populaire pour planifier des rendez-vous et synchroniser le calendrier des employés.
Parmi les clients de FlexBooker se trouvent des propriétaires de toute entreprise qui a besoin de prendre des rendez-vous, c’est-à-dire des comptables, des barbiers, des médecins, des mécaniciens, des avocats, des dentistes, des gymnases, des salons, des thérapeutes, des entraîneurs, des spas et la liste est longue.
Revendiquer l’attaque semble être un groupe s’appelant Uawrongteam, qui a partagé des liens vers des archives et des fichiers contenant des informations sensibles, telles que des photos, des permis de conduire et d’autres pièces d’identité.
Selon Uawrongteam, la base de données contient un tableau avec 10 millions de lignes d’informations sur les clients qui vont des formulaires de paiement et des frais aux photos de permis de conduire.
L’acteur note que certaines « colonnes juteuses » dans la base de données sont les noms, les e-mails, les numéros de téléphone, le sel de mot de passe et les mots de passe hachés.
FlexBooker a envoyé une notification de violation de données aux clients, confirmant l’attaque et que les intrus « ont accédé et téléchargé » des données sur le système de stockage en nuage Amazon du service.
« Le 23 décembre 2021, à partir de 16h05 HNE, notre compte sur les serveurs AWS d’Amazon a été compromis », lit-on dans la notification, ajoutant que les intrus n’ont accédé « à aucune carte de crédit ou autre information de carte de paiement ».
Cependant, FlexBooker a recommandé aux utilisateurs de rester vigilants et d’examiner les relevés de compte et les rapports de crédit pour détecter toute activité suspecte ou frauduleuse.
Le développeur a également indiqué aux utilisateurs un rapport sur une attaque par déni de service distribué (DDoS) pour plus de détails. Il a été découvert plus tard que les pirates avaient volé les informations personnelles de certains clients.
Selon le service de notification de violation de données Have I Been Pwned, le Attaque FlexBooker les données compromises de plus de 3,7 millions de comptes (3 756 794) comprenant des adresses e-mail, des noms, des données partielles de carte de crédit, des mots de passe et des numéros de téléphone.
Avant FlexBooker, l’acteur de la menace Uawrongteam partageait des liens vers des informations archivées prétendument volées sur Racing.com, une télévision numérique qui diffuse des courses de chevaux et fournit des nouvelles, des statistiques et des calendriers d’événements connexes.
Une autre cible du même groupe semble être les données du logiciel de gestion de cas rediCASE du groupe Redbourne, qui est utilisé pour les services de santé et communautaires, ainsi que par diverses entreprises.