Le groupe d’extorsion ShinyHunters a publié des données appartenant à près de 400 000 clients de BCD Travel après la fin d’une date limite de rançon, rendant une grande collection de dossiers clients accessibles publiquement en ligne.
Selon les chercheurs ayant examiné les données divulguées, le jeu de données contient des informations liées à environ 396 000 individus. Les dossiers exposés incluraient apparemment des noms, adresses e-mail, numéros de téléphone, adresses physiques, détails de l’employeur, titres de poste et communications du support client.
Cette publication fait suite à des affirmations antérieures de ShinyHunters selon lesquelles elle aurait violé BCD Travel et volé des informations d’entreprise et de clients. Le groupe avait auparavant fixé une date limite pour répondre à ses demandes et averti que les données seraient publiées en cas d’aucun accord.
Après l’expiration du délai, le groupe a publié les dossiers clients en ligne.
Avant de publier les données, ShinyHunters affirmait avoir obtenu plus de 700 000 enregistrements Salesforce ainsi que des informations issues de systèmes SharePoint, de documents internes, de contrats, de données opérationnelles et d’enregistrements clients. Ces affirmations ont été faites par les assaillants et n’ont pas été vérifiées de manière indépendante.
Les informations clients divulguées semblent ne représenter qu’une partie des données que le groupe prétend posséder.
BCD Travel est une société de gestion de voyages d’entreprise qui propose des services de réservation et de gestion de voyages pour des entreprises, des multinationales et des organisations gouvernementales. En conséquence, les dossiers exposés peuvent inclure des informations liées aux voyageurs d’affaires et aux clients d’affaires.
Les chercheurs ayant examiné les données publiées ont déclaré que la fuite contient un large éventail d’informations personnelles et professionnelles. Les dossiers de support client inclus dans le jeu de données pourraient fournir un contexte supplémentaire sur les voyageurs, les réservations et les interactions avec l’entreprise.
L’incident a également été catalogué par des services de suivi des violations. Have I Been Pwned a ajouté la violation à sa base de données et a rapporté qu’environ 396 300 adresses e-mail uniques étaient incluses dans les documents publiés.
Selon le service de notification des failles, les informations divulguées contiennent des noms, des adresses e-mail, des numéros de téléphone, des adresses physiques, des informations sur les employeurs, des titres de poste et des données de tickets de support collectés à partir de plusieurs ensembles de données.
Bien que la publication des dossiers clients ait été confirmée, l’ampleur complète de l’intrusion reste incertaine. ShinyHunters continue d’affirmer avoir obtenu des données internes supplémentaires à l’entreprise au-delà de ce qui a été rendu public.
Au moment du rapport, le jeu de données fuité, contenant des informations sur près de 400 000 clients, circulait publiquement en ligne.