Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation du code source et des données utilisateurs de Mercado Libre

Le groupe d'extorsion Lapsus$ a accédé à une partie du code source de Mercado Libre et aux données d'environ 300 000 utilisateurs, affirmant avoir atteint 24 000 dépôts internes du géant latino-américain du commerce électronique et de la fintech.

Victime
Mercado Libre
données
300.0K
utilisateurs
300.0K
SecteurTechnologieCommerce
PaysArgentine
GroupeLapsus$

En mars 2022, Mercado Libre — la plus grande entreprise de commerce électronique et de fintech d'Amérique latine, dont le siège est à Buenos Aires — a confirmé que le groupe d'extorsion Lapsus$ avait obtenu un accès non autorisé à une partie de son code source et aux données personnelles d'environ 300 000 de ses utilisateurs.

Ce qui s'est passé

La violation a été révélée dans le cadre de la campagne offensive de Lapsus$ au début de 2022. Le groupe, qui opérait principalement via un canal Telegram, a publié un sondage public invitant ses abonnés à voter sur la prochaine victime dont les données devraient être divulguées — citant Mercado Libre aux côtés d'autres cibles telles que Vodafone et Impresa.

Mercado Libre a réagi en déposant une déclaration 8-K auprès de la Securities and Exchange Commission (SEC) américaine, reconnaissant que des attaquants avaient obtenu l'accès à « une certaine portion » de son code source. Lapsus$ a affirmé de son côté avoir atteint 24 000 dépôts de code source appartenant à la fois à Mercado Libre et à sa filiale de paiement Mercado Pago.

Fait crucial, l'entreprise a déclaré n'avoir trouvé aucune preuve que ses systèmes d'infrastructure aient été compromis, ni que des mots de passe d'utilisateurs, soldes de comptes, investissements, informations financières ou données de carte bancaire aient été obtenus. L'exposition s'est limitée à un sous-ensemble de dossiers d'utilisateurs et de code interne.

Conséquences

  • Les données d'environ 300 000 utilisateurs ont été consultées, selon l'analyse initiale de l'entreprise.
  • Lapsus$ a revendiqué l'accès à 24 000 dépôts couvrant Mercado Libre et Mercado Pago.
  • Aucun fonds de client, identifiant ou donnée de carte de paiement n'a été signalé volé, et la plateforme n'a connu aucune interruption opérationnelle.

Le contexte Lapsus$

Mercado Libre n'était qu'un maillon d'une série remarquable d'attaques menées par Lapsus$, un collectif d'extorsion peu structuré attribué par la suite en grande partie à des adolescents au Royaume-Uni et au Brésil. Au cours des mêmes semaines, le groupe a divulgué environ 190 Go de code source de Samsung, exfiltré des données de NVIDIA (dont plus de 71 000 identifiants d'employés) et compromis Microsoft ainsi que le fournisseur d'identité Okta. Plutôt que de déployer un rançongiciel, Lapsus$ s'appuyait sur l'ingénierie sociale, le SIM-swapping, le recrutement d'initiés et des identifiants volés pour atteindre les systèmes de gestion de code source.

Pourquoi c'est important

La violation de Mercado Libre a démontré que les dépôts de code source sont désormais des cibles d'extorsion de premier ordre, précieux à la fois comme propriété intellectuelle et comme carte permettant de trouver d'autres vulnérabilités. Elle a également illustré le modèle d'extorsion théâtral et axé sur les réseaux sociaux de Lapsus$, qui faisait pression sur les victimes par des sondages et des fuites publics plutôt que par une négociation privée. Pour le fleuron technologique d'Amérique latine, la divulgation rapide et transparente à la SEC — et le fait que la segmentation ait préservé les systèmes de paiement — est devenue une étude de cas comparative en matière de confinement, même si l'incident a souligné à quel point même les organisations d'ingénierie matures restent exposées aux intrusions fondées sur les identifiants.

Chronologie

  1. Lapsus$ lance un sondage Telegram invitant ses abonnés à voter sur la prochaine victime à divulguer, citant Mercado Libre parmi les cibles.

  2. Mercado Libre dépose un formulaire 8-K auprès de la SEC américaine, révélant un accès non autorisé à une partie de son code source.

  3. L'entreprise confirme que les données d'environ 300 000 utilisateurs ont été consultées, mais ne signale aucune compromission des mots de passe, soldes ou données de paiement.

  4. Le sondage de Lapsus$ arrive à échéance ; la campagne plus large du groupe frappe également Samsung, NVIDIA et Microsoft.

  5. La police britannique arrête plusieurs adolescents liés au groupe Lapsus$ dans le cadre d'une enquête internationale.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/e-commerce-giant-mercado-libre-confirms-source-code-data-breach/
  2. safetydetectives.comhttps://www.safetydetectives.com/news/argentinian-e-commerce-company-mercado-libre-confirms-source-code-data-breach/
  3. anvilogic.comhttps://www.anvilogic.com/threat-reports/lapsus-breaches-mercado-libre
  4. thecyberwire.comhttps://thecyberwire.com/newsletters/privacy-briefing/4/46

Incidents liés

Ingénierie socialeContenu

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim
Uber Technologies