Skip to content
Cyber Breaches
Recherche
Fuite de donnéesContenu

Violation de données de Latitude Financial Services

Le prêteur australien de crédit à la consommation Latitude Financial a révélé que des attaquants avaient exfiltré 14 millions d'enregistrements — dont 7,9 millions de numéros de permis de conduire et 53 000 numéros de passeport — grâce à des identifiants dérobés à un prestataire de services.

Victime
Latitude Financial Services
Perte
$50.0M
données
14.0M
utilisateurs
14.0M
SecteurFinance
PaysAustralieNouvelle-Zélande
GroupeUnknown criminal operators

Le 16 mars 2023, Latitude Financial Services — un prêteur de crédit à la consommation australien et néo-zélandais — a révélé publiquement un incident cyber en cours affectant environ 330 000 enregistrements. En l'espace de deux semaines, la portée s'est étendue à 14 millions d'enregistrements, dont 7,9 millions de numéros de permis de conduire australiens et néo-zélandais, ce qui en fait la plus grande violation de données de l'histoire des services financiers australiens.

Ce qui s'est passé

L'intrusion a commencé par des identifiants d'employé volés achetés sur des marchés criminels — la même origine liée à l'économie des identifiants qui a alimenté la violation Medibank de 2022. Les identifiants avaient été collectés par un infostealer (probablement RedLine ou Raccoon) et avaient fait surface sur un forum criminel russophone début février 2023.

Les identifiants en question appartenaient à un employé de Latitude ayant accès à deux prestataires de services tiers qui hébergeaient d'importants volumes de données clients de Latitude — les prestataires n'ont pas été nommés publiquement, mais ont été évalués comme étant un fournisseur de gestion de données clients et un prestataire de vérification d'identité. Le compte de l'employé disposait d'un accès par authentification unique (SSO) aux deux prestataires, et les identifiants n'avaient pas l'authentification multifacteur activée pour ces portails spécifiques.

Les attaquants ont :

  • S'authentifié auprès des prestataires de services à l'aide des identifiants volés.
  • Pivoté au sein des environnements des prestataires pour accéder à des bases de données d'enregistrements clients en masse.
  • Exfiltré environ 14 millions d'enregistrements sur six semaines, en janvier et février 2023.

La détection est finalement intervenue le 15 mars 2023, lorsque Latitude a remarqué un trafic sortant inhabituel depuis son environnement.

Données exposées

  • 7,9 millions de numéros de permis de conduire australiens et néo-zélandais (délivrés de 2005 à 2023).
  • 6,1 millions d'enregistrements de noms, adresses, dates de naissance, numéros de téléphone — certains remontant à 2005.
  • 53 000 numéros de passeport.
  • Plus de 100 relevés financiers mensuels contenant un historique de paiement détaillé.

L'ancienneté des données — certains enregistrements vieux de dix-huit ans — était un détail particulièrement douloureux. Latitude avait conservé des enregistrements clients issus de demandes de crédit et de produits de prêt remontant à 2005, alors que beaucoup des clients affectés n'étaient plus des clients actifs de Latitude et n'avaient aucune attente quant à une conservation continue de leurs données.

Rançon refusée

Le 11 avril 2023, les attaquants ont contacté Latitude avec une demande de rançon — d'environ 1 million de dollars AUD selon les informations rapportées, pour la non-publication des données volées. Le PDG de Latitude Bob Belan a annoncé publiquement le même jour que Latitude ne paierait pas, invoquant les mêmes recommandations du gouvernement australien qui avaient soutenu le refus antérieur de Medibank :

  • Le paiement n'offre aucune garantie de suppression ou de non-publication.
  • Le paiement finance de nouvelles activités criminelles.
  • Le paiement peut enfreindre les sanctions de l'OFAC ou australiennes si les attaquants sont liés à des entités désignées.

À l'heure où ces lignes sont écrites, les données volées n'ont pas été publiées sur un site de fuite public, bien que des échantillons d'enregistrements aient circulé sur des forums criminels au cours de 2023.

Impact

  • 14 millions d'enregistrements exposés, dont 7,9 millions de permis de conduire nécessitant une réémission pour de nombreux résidents affectés.
  • Coût direct : Latitude a annoncé un coût compris entre 76 M$ et 95 M$ AUD avant assurance.
  • Des recours collectifs déposés devant la Cour fédérale australienne demeurent en cours en 2024.
  • Engagement exécutoire de l'OAIC en septembre 2024 — Latitude s'est engagée à un renforcement substantiel de sa cybersécurité en lieu et place d'une procédure de sanction civile.

Pourquoi c'est important

Latitude Financial est le deuxième cas australien emblématique (aux côtés de Medibank) pour le vecteur identifiants volés + absence de MFA sur un tiers. Il a établi :

  • Que l'accès via un prestataire de services tiers est un vecteur d'attaque majeur pour les services financiers. La violation ne visait pas l'infrastructure de Latitude elle-même ; elle visait des fournisseurs qui hébergeaient les données de Latitude.
  • Que la conservation des données à longue traîne est une responsabilité cachée majeure. Des enregistrements de 2005 ont été exposés lors d'une violation de 2023 parce que Latitude n'avait aucune politique de purge agressive pour les données des clients inactifs.
  • Que les numéros de permis de conduire fonctionnent de manière similaire aux numéros de passeport comme identifiants effectivement permanents. La réémission est administrativement coûteuse et crée une exposition à la fraude en aval pour l'ensemble des services publics et financiers utilisant le permis comme identité.
  • Que deux refus de payer majeurs en Australie au cours d'années successives (Medibank 2022, Latitude 2023) ont établi une posture nationale distincte de la culture de réponse aux rançongiciels des États-Unis ou du Royaume-Uni — le refus public par défaut, avec une coordination gouvernementale en arrière-plan.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
50.0M
USD · 50 000 000 $US
Rançon demandée
$1.0M
Rançon payée
Refusée
  • Perte d’exploitation$30.0M
  • Remédiation$20.0M

Chronologie

  1. Les attaquants obtiennent les identifiants d'un employé de Latitude sur des marchés d'identifiants collectés par infostealer.

  2. Les opérateurs pivotent vers les environnements du prestataire de services de Latitude, où les identifiants volés accordent des privilèges excessifs. Ils exfiltrent environ 14 millions d'enregistrements sur six semaines.

  3. Latitude détecte une activité anormale et révèle publiquement un incident en cours ; portée initiale estimée à 330 000 enregistrements.

  4. Portée revue : « nettement plus importante que ce qui était initialement pensé ».

  5. Latitude annonce que 14 millions d'enregistrements sont affectés : 7,9 M de permis de conduire australiens et néo-zélandais, 53 K numéros de passeport, plus de 100 relevés financiers mensuels.

  6. Les attaquants contactent Latitude avec une demande de rançon (~1 M$ AUD) ; Latitude déclare publiquement qu'elle ne paiera pas.

  7. Latitude estime le coût de l'incident cyber entre 76 M$ et 95 M$ AUD avant assurance.

  8. L'OAIC accepte un engagement exécutoire de la part de Latitude — une remédiation substantielle de cybersécurité en lieu et place d'une procédure de sanction civile.

Sources

  1. latitudefinancial.com.auhttps://www.latitudefinancial.com.au/customer-service/cyber-incident.html
  2. oaic.gov.auhttps://www.oaic.gov.au/news/media-centre/oaic-statement-on-latitude-financial-cyber-incident
  3. afr.comhttps://www.afr.com/companies/financial-services/latitude-cyberattack-cost-might-hit-95m-20230510-p5d77b

Incidents liés

Fuite de donnéesRésolu

Fuite de données MediaWorks (2023)

En mars 2024, des millions de lignes de données provenant de l'entreprise de médias néo-zélandaise MediaWorks ont été publiées sur un forum de piratage populaire. L'incident a exposé 163 000 adresses e-mail uniques fournies par des visiteurs ayant participé à des concours en ligne et comprenait des noms, des adresses postales, des numéros de téléphone, des dates…

Victim
MediaWorks
Records
162.7K
Fuite de donnéesRésolu

Fuite de données Finsure (2024)

En octobre 2024, près de 300 000 adresses e-mail uniques du groupe australien de courtage hypothécaire Finsure ont été obtenues à partir de la plateforme de marketing immobilier ActivePipe. Les données concernées comprenaient également des noms, des numéros de téléphone et des adresses physiques.

Victim
Finsure
Records
296.1K
Fuite de donnéesRésolu

Fuite de données Oxfam (2021)

En janvier 2021, Oxfam Australia a été victime d'une fuite de données qui a exposé 1,8 million d'adresses e-mail uniques de donateurs de l'association caritative. Les données ont été mises en vente sur un forum de piratage populaire et comprenaient également des noms, des numéros de téléphone, des adresses, des genres et des dates de naissance.

Victim
Oxfam
Records
1.8M
Fuite de donnéesRésolu

Fuite de données Blooms Today (2023)

En avril 2024, 15 millions d'enregistrements du fleuriste en ligne Blooms Today ont été mis en vente sur un forum de piratage populaire. Les données les plus récentes du corpus de la fuite dataient de novembre 2023 et figuraient aux côtés de 3,2 millions d'adresses e-mail uniques, de noms, de numéros de téléphone, d'adresses physiques et de données partielles de cartes bancaires…

Victim
Blooms Today
Records
3.2M