Certains sur Twitter ont repris l’adage « les cordonniers sont les plus mal chaussés » pour résumer les deux affaires de violation de données concernant SANS Institute et ISC2. En effet, le premier est un acteur international de la formation et de certification dans la cybersécurité, quant au second, il est aussi un opérateur important dans le domaine de la certification (CISSP, CSP, CAP).

Un employé de SANS Institute victime d’un phishing

Pour SANS Institute, la violation de données est consécutive à une attaque par phishing d’un de ses employés. La compromission a été découverte le 6 août lors de l’analyse de la configuration d’un compte email. Dans un message, l’organisation souligne n’avoir identifié qu’un seul compte corrompu. Mais l’attaquant a configuré une règle pour transférer tous les emails reçus de ce compte vers une adresse externe inconnue. Il a par ailleurs ajouté un add-on malveillant pour Office 365 (probablement un app OAuth).

Au total, le pirate a réussi à détourner 513 courriels, dont certains contenaient au total 28 000 données personnelles des membres du SANS Institute. Parmi les informations, il n’y a pas de mots de passe, mais les adresses mail, les noms complets, les numéros de téléphone, les titres, les adresses physiques. En tant que spécialiste de la formation en cybersécurité, SANS a mobilisé une équipe d’experts en forensic pour enquêter sur cette affaire. A des fins pédagogiques, un webcast sera organisé par l’organisation pour tirer les enseignements de cette affaire.

ISC2, victime collatérale d’un bucket S3 mal configuré

Autre acteur dans la tourmente, ISC2 (International Information Systems Security Certification Consortium) a été victime d’une mauvaise configuration d’un bucket S3 d’AWS. Deux chercheurs de VPN Mentor, Noam Rotem et Ran Locar ont déniché un bucket comprenant 5,5 millions de fichiers et 343 Go de données. Cette découverte a été faite le 20 décembre 2019 mais n’a été dévoilée que cette semaine pour respecter des délais d’informations des entreprises et organisations touchées.

Le bucket S3 mal configuré appartenait à InmotionNow, éditeur de logiciel de gestion de projet, et parmi les clients se trouve le consortium ISC2. Les chercheurs ne donnent pas en détail les informations contenues dans le bucket, mais ils dressent une liste du type de données (tableau analytique, matériel de formation, demande clients, stratégie marketing...).