Furnizorul francez de telecomunicații Orange Group a confirmat un atac cibernetic care a vizat operațiunile sale din România.

Compania a dezvăluit incidentul pentru BleepingComputer, menționând că acesta a afectat o aplicație de back-office neesențială și nu a avut impact asupra serviciilor oferite clienților.

Echipele de securitate cibernetică și IT ale Orange desfășoară o investigație pentru a determina amploarea breșei și pentru a minimiza orice potențial risc, relatează Tech Monitor.

Un hacker cunoscut sub numele de „Rey”, asociat cu grupul de ransomware HellCat, a revendicat atacul. Acesta susține că a avut acces la sistemele Orange pentru mai bine de o lună și că a extras datele în doar trei ore, fără a fi detectat.

Potrivit lui, compania a fost supusă unei tentative de extorcare, dar, în absența unui răspuns din partea Orange, datele furate au fost publicate pe un forum de hackeri.

Rey a declarat că atacul nu a fost o operațiune ransomware a grupului HellCat. Cu toate acestea, acesta este un membru cunoscut al grupului, care a fost anterior implicat în atacuri cibernetice asupra altor organizații.

Hackerul a publicat datele furate după eșecul tentativei de extorcare

Datele compromise vizează în principal Orange România și includ aproximativ 380.000 de adrese de e-mail unice, documente interne ale companiei și informații despre clienți.

Exemplele de date furate conțin adrese de e-mail aparținând actualilor și foștilor angajați, partenerilor și colaboratorilor.

De asemenea, scurgerea de date include cod sursă, facturi, contracte și detalii parțiale ale cardurilor de plată ale unor clienți români.

O parte dintre aceste date par a fi depășite.

Unele adrese de e-mail aparțin unor persoane care nu mai sunt asociate cu Orange România de peste cinci ani, iar multe dintre detaliile cardurilor de plată expuse sunt deja expirate.

În plus, date despre clienți ai Yoxo, serviciul de abonamente fără contract al Orange, au fost incluse în breșă.

Rey susține că accesul la sistemele Orange a fost obținut printr-o combinație de date de autentificare compromise și vulnerabilități ale Jira, software-ul folosit de companie pentru gestionarea problemelor. Portalurile interne au fost, de asemenea, vizate în atac. Hackerul a afirmat că a lăsat o notă de răscumpărare în sistemul compromis, dar compania nu a răspuns și nu a negociat.

Într-un răspuns oficial, Orange a confirmat atacul cibernetic și a oferit asigurări că ia măsuri pentru a gestiona incidentul.

"Orange poate confirma că operațiunile noastre din România au fost ținta unui atac cibernetic. Am acționat imediat, iar prioritatea noastră principală rămâne protejarea datelor și intereselor angajaților, clienților și partenerilor noștri. Nu a existat niciun impact asupra operațiunilor clienților, iar breșa a fost identificată într-o aplicație de back-office neesențială."

Compania a adăugat că respectă obligațiile legale referitoare la incident și colaborează cu autoritățile competente.

Orange, o nouă țintă a grupului HellCat

Deși Rey susține că a acționat independent, el rămâne afiliat grupului de ransomware HellCat, cunoscut pentru atacurile asupra unor organizații mari.

Grupul a revendicat anterior atacuri asupra Schneider Electric și a operatorului spaniol de telecomunicații Telefónica.

În acele cazuri, atacatorii au exploatat vulnerabilități ale serverelor Jira pentru a extrage 40GB de date de la Schneider Electric și 2.5GB de la Telefónica.