Un pirate surnommé kernelware prétend s’être introduit dans le réseau du spécialiste suisse de la cybersécurité Acronis et avoir fait fuiter en ligne plusieurs fichiers pesant un total de 12 gigaoctets. Il affirme avoir volé et divulgué des fichiers de certificats, des journaux de commandes, des configurations système, des journaux d’informations système, des archives de système de fichiers, des scripts python d’une base de données Acronis (maria.db) et une configuration de sauvegarde, ainsi que de nombreuses captures d’écran d’opérations de sauvegarde.

Le directeur de la sécurité informatique d’Acronis, Kevin Reed, conteste l’intrusion sur LinkedIn. Selon ce RSSI, un seul client d’Acronis a été affecté, avec des informations d’identification volées pour « téléverser des données de diagnostic sur un serveur de fichiers d’Acronis ». Toutes les autres données seraient en sécurité. Aucun produit ne serait affecté ou exploité.

« Nous travaillons avec ce client et avons suspendu l’accès à son compte pendant que nous résolvons le problème », ajoute la société Acronis dans sa déclaration. « Nous continuons à enquêter et fournirons des mises à jour si de nouvelles informations sont découvertes. »

 

Suite à la publication de cet article, la communication d’Acronis a envoyé à Channelnews la déclaration suivante, sous la forme d’un questions-réponses :

Acronis peut-il confirmer la réalité de l’incident de fuite de données ?

Acronis peut confirmer que les données d’un client ont fait l’objet d’une fuite en raison de la compromission des détails de son identifiant et de son mot de passe.

Que s’est-il passé exactement lors de cette fuite de données ? Acronis est-il au courant de cette fuite de données et pouvons-nous confirmer ce qui a été volé dans les fichiers d’Acronis ?

Le 9 mars, un post sur BreachedForums a mentionné Acronis. Nous avons immédiatement lancé une enquête. L’enquête a confirmé qu’aucun produit Acronis n’était affecté. Cependant, d’après les informations dont nous disposons, les informations d’identification utilisées par un client spécifique pour télécharger des données de diagnostic vers Acronis Support ont été compromises et mises à disposition en ligne. Un acteur de la menace a utilisé ces informations pour accéder aux données de diagnostic qui ne contenaient PAS d’informations privées ou sensibles.  Nous travaillons avec le client et avons suspendu l’accès au compte pendant que nous résolvons le problème.

Combien de clients ont été touchés ?

Un seul client a été touché. Acronis a travaillé en étroite collaboration avec ce client pour résoudre le problème. Son compte a été désactivé pendant que nous évaluons davantage la situation.

D’autres clients seront-ils affectés ? Des données sensibles sont-elles concernées ? Les données privées des clients sont-elles concernées ?

Il n’y a aucune menace pour les autres clients d’Acronis ou leurs données. En tant qu’entreprise de cyberprotection, nous prenons la sécurité très au sérieux. Aucun système ou réseau Acronis n’a été compromis. Alors que nous continuons à enquêter sur tous les éléments de l’affaire, nous travaillons en étroite collaboration avec notre client pour résoudre ce problème. Notre enquête indique que les informations consultées n’étaient pas descriptives et n’étaient pas considérées comme des informations sensibles.

Quelqu’un a-t-il piraté Acronis ? Comment le pirate a-t-il réussi à s’introduire dans vos systèmes ?

Acronis n’a pas été piraté. Les informations d’identification d’un utilisateur ont été compromises en dehors de nos systèmes.

Acronis sait-elle comment le pirate a accédé aux données ?

Acronis sait que le login et le mot de passe d’un utilisateur ont été compromis, car c’est ainsi qu’un accès non autorisé a été donné à ses fichiers. Nous présumons que le client concerné a été victime d’un vol d’informations d’identification.

Les produits Acronis sont-ils sécurisés ?

Les produits Acronis sont tous sécurisés. Aucun produit Acronis n’est concerné. L’enquête a conclu que les informations d’identification utilisées par un seul client spécifique avaient été compromises. L’équipe de gestion des comptes Acronis travaille avec le client et nous avons suspendu l’accès au compte pendant que nous résolvons le problème.

Quand la fuite de données s’est-elle produite ?

La fuite de données s’est produite fin février et n’a affecté qu’un seul utilisateur. Les auteurs de la fuite ont obtenu l’accès en utilisant les informations d’identification de l’utilisateur, ce qui n’a alerté aucun protocole de sécurité.

La vulnérabilité a-t-elle été localisée et corrigée ?

Il ne s’agit pas d’une vulnérabilité des systèmes Acronis. Il s’agissait d’un identifiant et d’un mot de passe compromis. Nous travaillons directement avec le client dont les informations d’identification ont été compromises et avons suspendu son compte pendant que nous travaillons avec lui pour résoudre le problème.