Violations de données majeures en Malaisie au cours des 24 derniers mois

KUALA LUMPUR (31 décembre) : les Malaisiens ont été touchés par une autre violation de données. Cette fois, impliquant une institution bancaire, une agence multimédia et de diffusion et une agence électorale gouvernementale où des millions d’informations personnelles auraient été vendues en ligne.

Dans la dernière allégation, les bases de données divulguées contiennent les noms complets de quelque 13 millions d’électeurs provenant de la Commission électorale (CE) et des clients de Maybank et Astro Malaysia ainsi que leurs numéros MyKad, adresses et numéros de téléphone portable.

Ces incidents sont devenus de plus en plus fréquents au cours des deux dernières années.

Voici quelques-unes des principales violations de données qui se sont produites en 2021 et qui continuent de tester la fragilité de la cybersécurité du pays alors même que le pays cherche à adopter le réseau haut débit 5G.

2022

30 décembre – Le ministre des Communications et du Numérique, Fahmi Fadzil, a mis deux agences sur la piste de la dernière allégation de fuite de données impliquant quelque 13 millions de titulaires de comptes de la plus grande banque malaisienne Maybank, de la CE et du diffuseur par satellite Astro.

Les informations volées ont été publiées sur un marché de base de données en ligne populaire où le vendeur a demandé aux parties intéressées de leur envoyer un message directement via Telegram ou d’utiliser les fonctionnalités de messagerie directe du forum pour conclure la vente.

Lowyat.net a signalé qu’une liste distincte existait également le même jour où le vendeur a déclaré avoir une base de données personnelle des clients mobiles du fournisseur Internet Unifi. Le vendeur demandait 850 $ US (3 752 RM) pour la vente.

Cette dernière violation a été rendue publique par l’utilisateur de Twitter @Xanda dont le tweet original n’est plus disponible.

28 novembre – Plusieurs sources rapportent qu’une annonce a été publiée sur un forum communautaire de piratage bien connu prétendant vendre une base de données de 2022 de 487 millions de numéros mobiles d’utilisateurs de WhatsApp, dont 11 millions sont des numéros malaisiens.

La fuite comprend des comptes de 84 pays. Selon la source, les pays avec le plus grand nombre de comptes piratés sont l’Égypte avec 44 823 547, l’Italie avec 35 677 323 et les États-Unis avec 32 315 282. La Malaisie a le 12e nombre le plus élevé avec 11 675 894.

Le vendeur, cependant, n’a pas précisé comment il a obtenu la base de données. Mais très souvent, les vidages massifs de données publiés en ligne s’avèrent être obtenus par grattage, ce qui enfreint les conditions d’utilisation de WhatsApp.

Meta, la société propriétaire de WhatsApp, a rejeté ces rapports en les qualifiant de spéculatifs et basés sur des captures d’écran non fondées.

10 novembre – Le régulateur électoral malaisien s’est fait pirater sa base de données. Le vendeur des données volées a affirmé avoir enregistré les numéros MyKad des électeurs, le nom complet, les adresses e-mail, les mots de passe et les adresses personnelles.

Il avait même les photos et les numéros de carte d’identité des citoyens alors que la Malaisie s’orientait vers l’inscription automatique des électeurs. L’exercice de la CE a commencé en 2019. Le site Web de la CE est toujours utilisé pour mettre à jour les informations personnelles des électeurs telles que les numéros de téléphone et les adresses.

L’utilisateur de Twitter @acaiijawe a d’abord tweeté que les données étaient vendues en ligne pour 2 000 USD (8 824 RM) à payer en Bitcoin ou Monero (une crypto-monnaie décentralisée abrégée XMR).

5 novembre – La compagnie aérienne à bas prix AirAsia a été touchée par un rançongiciel Daixin, mettant en péril les informations personnelles de cinq millions de passagers. Après enquête, le ministère des Communications a déclaré que la société avait détecté un accès non autorisé sur ses serveurs le 12 novembre.

La société mère d’AirAsia, Capital A, a été invitée à remettre tout document et donnée importants liés à l’incident. Les efforts pour retrouver les auteurs se poursuivent.

Daixin est un groupe de rançongiciels et d’extorsion de données. Il a reconnu l’attaque dans une interview avec databreaches.net, déclarant qu’il n’était pas satisfait de l’organisation chaotique d’AirAsia et a allégué son absence de normes.

25 octobre – Environ 2,6 millions d’utilisateurs de Carousell de Malaisie et de Singapour ont été victimes d’une violation de données sur la populaire plateforme de vente d’articles d’occasion en ligne. Toutes les données volées ont été vendues en ligne pour seulement 1 000 dollars US (4 412 RM).

Les dates de création de compte, les noms d’utilisateur, les noms complets, les adresses e-mail, les numéros de téléphone et plus encore des utilisateurs de Carousell ont été publiés publiquement en ligne par les pirates. Les enquêtes ont révélé un bogue dans la migration du système utilisé par un tiers pour obtenir un accès non autorisé à la base de données de l’entreprise. qui demandent des informations telles que leurs mots de passe.

Septembre – Incident de vol de données où des pirates prétendant appartenir à une organisation de cybersécurité «chapeau gris» ont allégué qu’ils avaient violé le système de fiche de paie électronique des fonctionnaires (ePenyata Gaji) pour exposer sa faiblesse.

Le groupe a affirmé qu’il pouvait accéder à plus d’un million de lignes d’identités via la base de données, qui est au format JavaScript Object Notation (JSON) et des valeurs séparées par des virgules (CSV). Ceux-ci contiennent le numéro MyKad de l’employé du gouvernement, son grade, son département, ses numéros de fiche de paie, son adresse e-mail et son numéro de téléphone portable.

Le groupe a également affirmé avoir extrait près de deux millions de fiches de paie et de formulaires fiscaux au format PDF avec une taille de fichier totale de 188,75 Go. Ensuite, le ministre des Communications et du Multimédia, Tan Sri Annuar Musa, a déclaré que le gouvernement avait trouvé une piste concernant le vol présumé de données, mais qu’il n’y a eu aucune mise à jour des enquêtes depuis.

Septembre – Une autre compagnie aérienne à bas prix, Malindo Air, désormais rebaptisée Batik Air, a vu les adresses e-mail, dates de naissance, adresses, numéros de passeport et numéros de téléphone de 45 millions de clients révélés en ligne par des pirates qui ont affirmé avoir eu accès à la base de données en 2019.

Il a été allégué que les données ont été obtenues à partir d’un service de stockage en nuage et ont été divulguées par une personne ou une organisation appelée Spectre.

Batik Air a reconnu le problème dans un communiqué de presse et a révélé que deux anciens employés de son partenaire de commerce électronique GoQuo (M) Sdn Bhd dans leur centre de développement en Inde étaient impliqués. Des rapports de police ont été rédigés en Malaisie et en Inde. Malindo Air a déclaré que l’incident n’était pas lié à la sécurité de son architecture de données et qu’aucune des informations de paiement des clients n’avait été compromise.

Août – La principale passerelle de paiement iPay88 a vu les données de carte de ses clients compromises après un incident de cybersécurité. La société a déclaré avoir ouvert une enquête et fait appel à des experts compétents pour contenir le problème après la découverte du 21 mai.

iPay88 est une société de passerelle de paiement établie en Malaisie en 2000 qui propose des méthodes de paiement complètes aux entreprises qui incluent des solutions de commerce électronique et de vente au détail.

Selon KiplePay, un fournisseur de cartes prépayées a proposé des cartes de remplacement gratuites aux personnes touchées par la violation de données.

Mai – La nouvelle est apparue que des millions d’ensembles de données appartenant au Département national d’enregistrement ou NRD étaient en vente pour seulement 10 000 USD (44 095 RM).

Le vendeur qui a publié la vente en ligne a affirmé avoir les données de toutes les personnes nées en Malaisie de 1940 à 2004. Selon lowyat.net, la base de données était censée avoir une taille de 160 Go et contenait les noms complets, le numéro de carte d’identité, les adresses, les dates de naissance. , genres, races, religions, numéros de portable et photos basées sur Base54.

Le vendeur a également publié les coordonnées du ministre de l’Intérieur de l’époque, Datuk Seri Hamzah Zainuddin, pour démontrer l’authenticité de la base de données.

2021

Avril – Le co-fondateur de la société israélienne de cybersécurité Hudson Rock, Alon Gal, a mis en évidence une base de données divulguée contenant les données de 533 000 000 d’utilisateurs de Facebook en 2021. Plus de 100 pays ont été touchés, avec plus de 11 millions de Malaisiens divulgués.

Les données divulguées comprenaient des noms, des numéros de téléphone portable, des e-mails, des sexes, des professions, des villes, des pays, des états matrimoniaux, etc.

Facebook a déclaré que la fuite était d’anciennes données qui avaient été signalées précédemment en 2019 et qu’ils avaient résolu le problème, mais les données ici ont été divulguées gratuitement, ce qui signifie que les informations peuvent toujours être exploitées par des spécialistes du marketing brut, des escrocs et des pirates selon Gal.

Le gouvernement précédent avait proposé 73 millions de RM à CyberSecurity Malaysia ainsi que la création du National Scam Response Center, comme annoncé dans le budget 2023.

Ils ont également annoncé la suppression du mot de passe à usage unique (OTP) envoyé par SMS par les banques pour les transactions à haut risque, une plate-forme sera créée pour que le public puisse signaler tout type de cas d’escroquerie en ligne, le gouvernement pour sensibiliser davantage à la littératie numérique à diminuer les victimes d’arnaques en ligne et la création d’un projet de loi pour protéger les utilisateurs de cartes de crédit sera proposée vers le deuxième trimestre de 2023.

Mars – Le transporteur national Malaysia Airlines a informé les clients de son programme de fidélisation Enrich qu’il y avait eu un “incident de sécurité des données” chez l’un de ses fournisseurs de services informatiques tiers. Selon les compagnies aériennes, l’incident s’est produit sur une période de neuf ans allant de mars 2010 à juin 2019.

Cependant, la société n’a pas divulgué le nombre de membres concernés. Des données telles que les niveaux, le statut et les informations personnelles ont été volées, mais les compagnies aériennes ont suggéré qu’il n’y avait aucune preuve montrant que les informations volées étaient utilisées ailleurs, mais ont conseillé aux membres de changer leurs mots de passe et de mettre à jour leurs informations par téléphone.

Février – Les données personnelles de plus de 300 000 clients E-Pay semblent avoir été exposées en ligne à la suite d’une violation de données. Un pirate a été aperçu en train de vendre une base de données de 380 000 clients sur un forum de partage de données pour 300 USD (environ 1 322 RM). Cela représente environ 0,32 sen par utilisateur.

À partir de l’exemple d’enregistrement publié sur les forums RAID, la base de données contient le nom, l’adresse e-mail, le mot de passe haché, la date de naissance, l’adresse complète, y compris la ville, le code postal et le numéro de téléphone portable du client. S’ils sont achetés, ces détails, s’ils sont légitimes, peuvent être utilisés à mauvais escient pour des activités frauduleuses et 380 000 enregistrements représentent une taille assez importante. — Courrier malais

Facebook
Messager
Twitter
Whatsapp
E-mail
Imprimer