Skip to content
Cyber Breaches
Recherche
Bourrage d’identifiantsconfirmed

Violation TransUnion Afrique du Sud (Afrique du Sud, 2022)

L'acteur malveillant N4ughtySecTU a compromis TransUnion Afrique du Sud via un compte client protégé par le mot de passe « Password », puis a exigé une rançon de 15 millions de dollars. TransUnion a confirmé que les données personnelles de millions de consommateurs avaient été compromises.

Victime
TransUnion South Africa
SecteurFinance
PaysAfrique du Sud
GroupeN4ughtySecTU
Attaquants nommésN4ughtySecTU (groupe de pirates autoproclamé)

En mars 2022, TransUnion South Africa — l'un des principaux bureaux de crédit du pays — a été compromis par un groupe se faisant appeler N4ughtySecTU, qui a ensuite exigé une rançon de 15 millions de dollars. L'attaque est devenue tristement célèbre pour son point d'entrée d'une simplicité absurde : un compte client prétendument protégé par le mot de passe « Password ».

Ce qui s'est passé

Les attaquants ont obtenu l'accès à l'aide des identifiants volés d'un client TransUnion autorisé. Selon le groupe, le compte compromis était protégé par le mot de passe « Password » — un identifiant trivialement devinable sur un compte ayant accès aux données du bureau. Aucun exploit sophistiqué n'était nécessaire ; un simple abus d'identifiants a suffi.

N4ughtySecTU a affirmé avoir exfiltré 4 téraoctets de données concernant 54 millions de personnes et de nombreuses entreprises, et a exigé 15 millions de dollars pour s'abstenir de les publier. TransUnion a refusé de payer. L'entreprise a mobilisé des spécialistes en criminalistique externes et a souligné n'avoir trouvé aucune preuve que l'incident dépassait son activité sud-africaine.

Impact

  • TransUnion a confirmé que des informations personnelles de consommateurs et d'entreprises avaient été compromises, notamment des données d'identité et de contact.
  • Le chiffre affiché de « 54 millions d'enregistrements » a été contesté : TransUnion a déclaré qu'une grande partie des données revendiquées par les criminels lui était étrangère ou provenait de violations plus anciennes et distinctes, tout en confirmant qu'un ensemble plus restreint de ses propres enregistrements était réellement touché.
  • La violation a renforcé l'inquiétude du public en Afrique du Sud, survenant à peine un an après la divulgation d'Experian et dans un contexte d'attention accrue à l'application du POPIA.

Pourquoi c'est important

Le cas TransUnion Afrique du Sud est une leçon saisissante sur l'hygiène des identifiants et l'accès des tiers. Un bureau de crédit national — dépositaire des données d'identité et de crédit de dizaines de millions de personnes — aurait été compromis via un seul compte doté d'un mot de passe de niveau par défaut et sans protection multifacteur efficace. Il a mis en évidence deux risques systémiques : la concentration de données sensibles de population entre quelques bureaux, et le danger d'accorder un accès client permanent sans imposer d'authentification forte. Avec Experian, il a confirmé les bureaux de crédit sud-africains comme cibles récurrentes de grande valeur et accéléré la pression réglementaire en faveur de contrôles d'accès renforcés.

Impact financier

Coûts déclarés en USD

Rançon demandée
$15.0M
Rançon payée
Refusée

    Chronologie

    1. Les attaquants accèdent à un serveur de TransUnion Afrique du Sud avec les identifiants volés d'un client autorisé dont le mot de passe était, selon les rapports, « Password ».

    2. Le groupe N4ughtySecTU affirme avoir volé 4 téraoctets de données concernant 54 millions de personnes et exige une rançon de 15 millions de dollars.

    3. TransUnion confirme un incident de sécurité, indique avoir mobilisé des experts en criminalistique externes et refuse de payer la demande d'extorsion.

    4. TransUnion précise qu'une partie des enregistrements revendiqués par les criminels lui était étrangère, tout en confirmant qu'un ensemble plus restreint de ses propres données de consommateurs et d'entreprises avait été compromis.

    5. L'Information Regulator d'Afrique du Sud engage des échanges avec TransUnion au sujet de l'incident dans le cadre de la surveillance POPIA.

    Sources

    1. dailymaverick.co.zahttps://www.dailymaverick.co.za/article/2022-03-19-transunion-union-data-breach-leaves-54-million-south-africans-exposed/
    2. cyberscoop.comhttps://cyberscoop.com/south-africa-transunion-data-breach/
    3. newsroom.transunion.co.zahttps://newsroom.transunion.co.za/update-south-africa-cyber-incident/
    4. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/hackers-claim-to-breach-transunion-south-africa-with-password-password/
    5. securityweek.comhttps://www.securityweek.com/transunion-confirms-data-breach-south-africa-business/

    Incidents liés

    Bourrage d’identifiantsContenu

    Fuite chez Caisse des dépôts et des consignations

    En février 2025, la Caisse des dépôts a révélé que des pirates avaient utilisé des identifiants de connexion volés pour accéder à la plateforme de retraite Ircantec et dérober les données personnelles d'environ 70 000 agents contractuels du public, praticiens hospitaliers et près de 1 000 élus locaux.

    Victim
    Caisse des dépôts et des consignations
    Records
    70.0K
    Bourrage d’identifiantsContenu

    Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

    Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

    Victim
    Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
    Records
    560.0M