En vertu de la législation américaine, les entreprises sont tenues d’informer les autorités des cyberattaques visant au moins 500 citoyens américains. Suite à cette règle, des représentants du géant financier HSBC ont envoyé au bureau du procureur général de Californie (PDF) une déclaration dans laquelle ils faisaient état d’une attaque récente contre leurs systèmes.
Le document indique que l’incident s’est produit entre le 4 et le 14 octobre 2018. Dans le même temps, le nombre exact d’utilisateurs affectés n’est pas divulgué, mais il y aurait eu «moins de 1%». Étant donné qu’environ 1,2 million de personnes utilisent les services HSBC aux États-Unis, on ne peut parler que de 12 000 utilisateurs américains, sans parler des clients d’autres pays, si l’attaque les a affectés.
À l’heure actuelle, les comptes de toutes les victimes ont déjà été bloqués et la banque a lancé une procédure permettant de modifier leurs mots de passe. Le document indique également que, maintenant, HSBC a ajouté une certaine « couche de protection supplémentaire » pour les comptes d’utilisateurs, mais les représentants d’une institution financière n’entrent pas dans les détails.
À en juger par la description de l’attaque dans le document, HSBC a rencontré ce que l’on appelle le « bourrage de justificatif d’identité ». Ce terme désigne les situations dans lesquelles des noms d’utilisateur et des mots de passe sont volés sur certains sites, puis utilisés contre d’autres. En d’autres termes, les attaquants disposent d’une base de données prédéfinie d’informations d’identification (acquises sur un darknet, collectées indépendamment, etc.) et tentent d’utiliser ces données pour se connecter à tous les sites et services sous le prétexte de leurs victimes.
À la suite de l’attaque, des attaquants inconnus ont pu accéder aux informations client de HSBC.Les noms complets, adresses postales, numéros de téléphone, adresses e-mail, dates de naissance, numéros de compte, types de comptes, informations sur les soldes, l’historique des transactions, l’historique des relevés, etc.
Il est notoire que les représentants de HSBC offrent désormais aux utilisateurs concernés une année de surveillance gratuite du crédit et de protection contre le vol d’identité.