Rex Mundi hacke Tobasco et Z-Staffing

2014-12-14

Le très actif groupe Rex Mundi frappe à nouveau en publiant des données piratées des bureaux d’interim Tobasco et Z-Staffing :

Dear friends and foes,

Here is the full data leak from Xtra-Interim.be, another Novation.be project with numerous SQL injection vulnerabilities. Our advice to Xtra-Interim: ask Novation for a full refund. And damages, if possible.

Just a quick note: a little bird told us that the Belgian police’s new stance is to advise victims not to pay, in the hope that we would eventually quit hacking Belgian websites if there was no money to be made out of it.

In truth, we won’t stop regardless of whether we get paid or not.

It is just too damn fun.

Rex Mundi

Le ton est donné : que les sociétés visées acceptent ou nom de payer une rançon, les attaques continueront. Parmi les données publiées cette année et aujourd’hui, on retrouve nom, prénom, email, adresse, date et lieu de naissance mais aussi numéro de registre national et numéro de compte.

Epinglés à leur tableau de chasse de 2014 :

• Domino’s Pizza (juin 2014)
• Mensura, Thomas Cook Belgium, Finalease Car Credit (novembre 2104)

Quelques reflexions

En vrac :

• Il est grand de nous interroger sur la façon dont nos informations personnelles sont disséminées dans la nature sans aucun contrôle de notre part et sans date d’expiration.
• Les applications et les sites visés étaient-il raisonnablement sécurisés ? S’agit-il d’attaques “évidentes”, telles que de nombreuses injections SQL comme déclaré, ou bien a-t-on utilisé des vecteurs sophistiqués mettant en échec les protections érigées dans les règles de l’art ? Dans le premier cas, il est temps de remonter le niveau de notre industrie. Dans le second, les choses se corsent et il faut placer la barre plus haut.
• Les sociétés concernées ont-elles pris contact directement avec leurs clients ? (Je parie que non)
• Quel dédommagement pour les clients victimes ? (Aucun je devine)

On collecte, c’est comme ça

Petite illustration pratique d’une personne qui a postulé à plusieurs reprises pour un contrat de travail auprès de recruteurs.

• “Pouvez-vous me donner votre carte SIS?” (en Belgique, carte liée aux prestations de sécurité sociale)

Bon réflexe :

• “Pourquoi faire?”
• “Pour lire votre numéro de registre national”

Ceux-ci jouaient le rôle d’intermédiaires et à aucun moment il n’était question de signer un contrat avec eux. Bien entendu, on aurait pu continuer dans la lignée du : “… et pour en faire quoi?”, mais ce n’est sans doute pas le moyen le plus évident d’obtenir un emploi.

Suit une demande de numéro de compte. Aucune pertinence entre les données récoltées et le but recherché. Dorénavant, il suffira peut-être de citer Rex Mundi pour décliner ce genre de demandes parfaitement inopportunes qui illustrent à quel point les données personnelles sont souvent traitées comme une simple marchandise.