Cyberprzestępcy ujawnili dane blisko 1,5 mln Francuzów

Cyberprzestępcy nie oczekiwali długo na okup. Tzw. deadline był wyznaczony na niecałe dwa dni od momentu opublikowania posta. 25 listopada br. Bashe dodało link do pobrania archiwum o nazwie sfr.fr_hiu7g. Po rozpakowaniu uzyskuje się dostęp do pliku srf.csv, składającego się z 1 445 684 linijek tekstu oraz zajmującego 120 MB pamięci.

Wyciek danych

W pliku udostępnionym przez cyberprzestępców można znaleźć następujące nagłówki danych:

• Imię;
• Nazwisko;
• Telefon;
• Adres;
• Szerokość geograficzna;
• Długość geograficzna;
• Subskrypcja;
• Czerwona lista (ang. redlist);

Pole „Adres” zawiera przybliżone lokalizacje, takie jak np. „Dworzec w Cap d’Ail” czy „Ulica Maurice Blondela”. Wspomnianym wartościom towarzyszą również współrzędne geograficzne (np. „47.2XXXXX9, 6.0XXXXX8”, gdzie X oznacza faktyczną cyfrę). Numery telefonów pochodzą z różnych regionów Francji, zaś ich prefiksy są w dużej mierze zgodne z położeniem geograficznym.

Pierwsze informacje o wycieku

15 lipca br. portal TheCyberExpress informował o wystawieniu na sprzedaż danych 1,4 mln Francuzów, pochodzących z SFR. Na podstawie fragmentów próbki danych oraz identycznej ilości rekordów możemy potwierdzić, że dane udostępnione przez grupę Bashe są identyczne do tych, które były wystawione na sprzedaż.

Rekordy miały być udostępnione tylko jednej osobie za równowartość 850 dolarów w kryptowalucie lub 300 dolarów dla wielu kupujących. Obecnie nie wiadomo w jaki sposób grupa ransomware uzyskała wspomniany plik. Francuski operator telekomunikacyjny nie odniósł się wówczas do sprawy.

W sierpniu analizę pliku przeprowadził portal hackerdose.com. W artykule stwierdzono, że SFR nadal nie odniosło się do incydentu.

Ataki na Francję i polski wątek

Nie jest to pierwszy atak na francuski podmiot, gdzie do sieci wyciekają bardzo wrażliwe informacje. W lutym tego roku pisaliśmy o naruszeniu ochrony danych połowy Francuzów (ok. 33 mln osób).

Grupa Bashe (znana też jako APT73) poinformowała niedawno o zaatakowaniu polskiej firmy Gureco (gureco.pl), dołączając wiarygodnie wyglądające próbki danych jako dowody ataku. Obecnie nie wiadomo czy incydent miał miejsce oraz jakie są jego ewentualne skutki. Cyberprzestępcy mają planowo opublikować dane pod koniec tego tygodnia.

Incydent zgłosiliśmy do CERT-FR. Zwróciliśmy się również do SFR z prośbą o komentarz, który niezwłocznie opublikujemy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].