Skip to content
Cyber Breaches
Recherche
Chaîne d’approvisionnementRésolu

Violation de SK Communications (Nate / Cyworld)

Des pirates exploitant un canal de mise à jour logicielle empoisonné ont volé les données personnelles d'environ 35 millions d'utilisateurs de Nate et Cyworld — noms, numéros d'enregistrement de résident, numéros de téléphone et mots de passe chiffrés — dans ce qui était alors la plus grande violation de données de Corée du Sud.

Victime
SK Communications (Nate, Cyworld)
données
35.0M
utilisateurs
35.0M
SecteurTechnologie
PaysCorée du Sud
GroupeChina-based attackers (KCC attribution)

Le 26 juillet 2011, SK Communications — exploitant du portail Nate et du géant des réseaux sociaux Cyworld — a subi ce qui était alors la plus grande violation de données de l'histoire de la Corée du Sud, exposant les informations personnelles d'environ 35 millions d'utilisateurs, soit la majeure partie de la population en ligne du pays.

Ce qui s'est passé

Plutôt que de s'attaquer directement aux serveurs de SK Communications, les pirates ont employé une technique de chaîne d'approvisionnement. Ils ont compromis le mécanisme de mise à jour d'ALZip, un utilitaire de compression de fichiers très répandu en Corée, et ont diffusé un logiciel malveillant vers des machines internes de SK Communications lors d'une vérification logicielle de routine. Ce point d'appui leur a permis d'atteindre les bases de données internes de l'entreprise et d'exfiltrer les enregistrements d'utilisateurs sur le réseau.

La Korea Communications Commission (KCC) a tracé le trafic malveillant jusqu'à des adresses IP en Chine, et des attaquants basés en Chine ont été largement mis en cause, bien qu'aucun individu n'ait jamais été identifié publiquement ni poursuivi à l'étranger.

Ce qui a été volé

La violation a exposé les noms, numéros d'enregistrement de résident (identifiant national), numéros de téléphone, adresses e-mail, identifiants et mots de passe des utilisateurs. SK Communications a déclaré que les mots de passe et les numéros d'enregistrement de résident avaient été protégés par chiffrement, mais l'ampleur de l'exposition — combinée à la dépendance de la Corée aux numéros d'enregistrement de résident comme identifiants universels — rendait la fuite extrêmement grave pour la fraude à l'identité.

Impact et conséquences

  • Environ 35 millions de comptes Nate et Cyworld ont été touchés — plaçant à l'époque cette violation parmi les dix plus importantes jamais enregistrées dans le monde.
  • L'incident a intensifié l'examen de la manière dont les plateformes coréennes collectaient et stockaient les numéros d'enregistrement de résident, accélérant un abandon national de leur usage pour les inscriptions en ligne.
  • En février 2013, un tribunal de Séoul a condamné SK Communications à indemniser les victimes d'usurpation d'identité (environ 200 000 wons chacune selon les rapports), estimant que l'entreprise n'avait « absolument pas remarqué le vol échelonné » et s'était appuyée sur un logiciel tiers non sécurisé.

Pourquoi c'est important

La violation de Nate/Cyworld est une attaque de chaîne d'approvisionnement emblématique — des années avant que le terme « chaîne d'approvisionnement » ne devienne courant en sécurité — montrant comment un canal de mise à jour logicielle de confiance pouvait être détourné pour atteindre toute une plateforme. C'est aussi un moment déterminant de l'histoire de la vie privée en Corée du Sud : l'ampleur de l'exposition des numéros d'enregistrement de résident a contribué à pousser le pays à restreindre légalement leur collecte par les services en ligne, transformant durablement la façon dont les sites coréens authentifient leurs utilisateurs.

Chronologie

  1. Les attaquants compromettent SK Communications et exfiltrent les données personnelles d'environ 35 millions d'utilisateurs de Nate et Cyworld.

  2. SK Communications révèle publiquement la violation ; la Korea Communications Commission ouvre une enquête.

  3. Les enquêteurs déterminent que l'attaque a utilisé une mise à jour empoisonnée de l'outil de compression ALZip pour implanter un logiciel malveillant, le trafic étant tracé jusqu'à des adresses IP chinoises.

  4. Un tribunal de Séoul condamne SK Communications à indemniser les victimes d'usurpation d'identité, estimant qu'elle n'avait pas détecté le vol échelonné.

Sources

  1. koreaherald.comhttp://www.koreaherald.com/view.php?ud=20110728000881
  2. nakedsecurity.sophos.comhttps://nakedsecurity.sophos.com/2011/07/28/data-stolen-from-35-million-south-korean-social-networking-users/
  3. csoonline.comhttps://www.csoonline.com/article/2129187/chinese-hackers-blamed-for-huge-south-korean-database-theft.html
  4. databreaches.nethttps://databreaches.net/2013/02/18/korean-court-orders-sk-communications-to-pay-damages-to-id-theft-victims/

Incidents liés

Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)