stealing passwords data breach

La société financière australienne a été frappée de poursuites après une violation de données massive

Lucas Morel

Le régulateur de l’industrie allègue que les titres FIIG n’ont pas réussi à maintenir des mesures de cybersécurité adéquates depuis plus de quatre ans, ce qui a conduit à un vol de 385 Go de données client confidentielles.

La société australienne de services financiers FIIG Securities fait face à une action en justice de la Commission des valeurs mobilières australiennes (ASIC) à la suite d’une violation de cybersécurité qui a exposé des informations sensibles de 18 000 clients.

Selon les documents judiciaires déposés par l’ASIC devant la Cour fédérale d’Australie, FIIG aurait opéré avec des mesures de cybersécurité inadéquates de mars 2019 à juin 2023, violant ses obligations de licence de licence des services financiers australiens (AFS).

L’organisme de réglementation affirme que ces défaillances de sécurité ont permis à un pirate d’infiltrer le réseau informatique de FIIG et de rester non détecté pendant près de trois semaines, du 19 mai au 8 juin 2023. Pendant ce temps, l’attaquant a exfiltré environ 385 Go de données confidentielles, qui a ensuite été publiée sur le Web Dark Web.

« Les informations volées comprenaient des données clients très sensibles telles que les noms, les adresses, les dates de naissance, les permis de conduire, les passeports, les détails du compte bancaire et les numéros de dossier fiscal », a déclaré l’ASIC dans un communiqué.

Dans sa plainte, l’ASIC a accusé FIIG de ne pas avoir mis en œuvre des mesures de cybersécurité de base à divers moments, notamment:

  • Configurer et surveiller correctement les pare-feu pour protéger contre les cyberattaques
  • Mise à jour et correction des logiciels et des systèmes d’exploitation de manière cohérente et en temps opportun
  • fournir une formation régulière et obligatoire de sensibilisation à la cybersécurité au personnel
  • allouant des ressources humaines, technologiques et financières inadéquates pour gérer la cybersécurité.

À la suite de ces échecs, ASIC a déclaré dans son dossier judiciaire: «Un employé FIIG a téléchargé par inadvertance un fichier .zip contenant des logiciels malveillants tout en parcourant Internet. Le logiciel malveillant a permis à un acteur de menace d’accéder à distance le réseau de FIIG et d’effectuer un mouvement latéral basé sur le réseau et l’escalade des privilèges. » Environ quelques jours plus tard, ASIC a déclaré: «L’acteur de menace a obtenu l’accès à un compte utilisateur privilégié sur le réseau de FIIG et a commencé à télécharger les données de FIIG.»

Les leçons de sécurité de la violation

Les cisos souhaitant éviter un sort similaire à celui de FIIG devraient prendre note des annexes à la plainte de l’ASIC. Celles-ci répertorient 12 actions clés pour sécuriser l’infrastructure d’entreprise que FIIG n’avait pas mis en œuvre à divers moments, et six mesures de gestion des risques qu’elle n’avait pas prises.

Le FIIG aurait appris l’incident potentiel de cybersécurité le 2 juin 2023, contacté par l’Australian Cyber ​​Security Center. Selon l’ASIC, la société n’était pas au courant de la violation avant cette notification et n’a commencé à enquêter ou à répondre à l’incident avant le 8 juin – près d’une semaine après avoir été alerté.

Le président de l’ASIC, Joe Longo, a souligné que l’affaire devrait servir d’avertissement à toutes les entreprises des dangers de la négligence des systèmes de cybersécurité.

« La cybersécurité n’est pas une affaire définie », a déclaré Longo dans le communiqué. «Toutes les entreprises doivent vérifier de manière proactive et régulièrement l’adéquation de leurs mesures de cybersécurité et suivre les conseils de l’ACSC du TSA.»

L’ASIC prend rarement des mesures d’application de la cybersécurité. Dans une affaire précédente, il a introduit en mai 2022, le tribunal fédéral a jugé que les conseils de licence de l’AFS RI avaient violé ses obligations de licence en ne disposant pas de systèmes de gestion des risques adéquats pour les risques de cybersécurité.

Néanmoins, Longon a noté: «L’avancement de la sécurité et de la résilience numériques est une priorité stratégique pour l’ASIC. Nous nous sommes engagés activement avec les entreprises pour soutenir l’amélioration continue des pratiques de résilience cyber et opérationnelle. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support