Incidents associés
L'inconnu qui a envoyé un message à Matthew Van Andel en ligne en juillet dernier en savait beaucoup sur lui, notamment sur son déjeuner avec des collègues de travail chez Disney DIS 1,18% d'augmentation ; triangle vert pointant vers le haut quelques jours plus tôt.
Son esprit s'emballa ; il savait que personne en dehors de Disney n'aurait accès à ces informations. Comment la personne qui lui a envoyé un message sur le forum de discussion Discord savait-elle ce qu'il avait dit sur un canal Slack privé du lieu de travail ?
"J'ai eu accès à certaines informations sensibles liées à votre vie personnelle et professionnelle", disait un autre message Discord. Van Andel s'est rendu compte qu'il avait été piraté.
Le lendemain matin, l'échange Slack de midi est devenu l'un des 44 millions de messages Disney provenant de l'outil de collaboration sur le lieu de travail publiés en ligne par un groupe de hackers cryptiques aux motivations obscures. Le pirate avait utilisé les identifiants de connexion de Van Andel pour voler son employeur.
Le piratage a poussé l'équipe de cybersécurité de Disney à se mobiliser pour évaluer les dégâts. Les informations privées des clients, les numéros de passeport des employés et les chiffres des revenus des parcs à thème et du streaming se trouvaient dans l'énorme fuite de données.
La violation a bouleversé la vie de Van Andel. Le pirate a volé ses numéros de carte de crédit et accumulé des factures, et a divulgué ses identifiants de connexion, y compris ceux de comptes financiers. L'attaquant a publié en ligne les informations personnelles de Van Andel, allant de son numéro de sécurité sociale aux identifiants de connexion qui pourraient être utilisés pour accéder aux caméras Ring à son domicile.
"Il est impossible de transmettre le sentiment d'une violation", a déclaré Van Andel, un père de deux garçons de 42 ans.
Quelques semaines plus tard, Van Andel, surnommé Dutch, s'est également retrouvé au chômage. Après une analyse médico-légale de son ordinateur de travail, Disney l'a licencié, lui disant qu'il avait accédé à du matériel pornographique sur l'appareil. Van Andel nie avoir accédé à du porno sur son ordinateur de travail.
"L'affirmation de M. Van Andel selon laquelle il n'a pas commis la faute qui a conduit à son licenciement est fermement réfutée par l'examen par l'entreprise de son appareil fourni par l'entreprise", a déclaré un porte-parole de Disney dans un communiqué.
Disney a déclaré dans un dossier réglementaire d'août qu'elle enquêtait sur l'incident et que cela ne devrait pas avoir d'impact matériel sur ses opérations ou ses performances financières. Après le piratage, l'entreprise a déclaré aux employés qu'elle prévoyait de s'éloigner de Slack afin de rationaliser ses outils de collaboration.
L'expérience de Van Andel est un avertissement pour les entreprises - et les particuliers - quant à leur vulnérabilité aux pirates informatiques opportunistes.
Pendant la pandémie, les entreprises ont rapidement veillé à ce que les travailleurs puissent accéder aux systèmes depuis leur domicile - et les pirates informatiques ont rapidement réalisé que les ordinateurs personnels étaient devenus des portes dérobées d'entreprise.
Les pirates informatiques ont créé une variété d'outils malveillants, appelés voleurs d'informations, qui se cachent dans les logiciels que les gens téléchargent sur Internet. Les pirates volent leurs identifiants, qui sont revendus en ligne.
L'année dernière, près de 40 % des cyber-intrusions à motivation financière ont été commises à l'aide d'identifiants volés, contre la moitié en 2022, selon le groupe Mandiant de Google, qui enquête sur les cyber-intrusions.
Logiciel sinistre
Le dénouement numérique de Van Andel a commencé en février dernier, lorsqu'il a téléchargé un logiciel gratuit sur le site de partage de codes populaire GitHub tout en essayant une nouvelle technologie d'intelligence artificielle sur son ordinateur personnel. Le logiciel a permis de créer des images d'IA à partir d'invites de texte.
Cela a fonctionné, mais l'assistant IA était en fait un logiciel malveillant qui a donné au pirate informatique derrière lui l'accès à son ordinateur et à toute sa vie numérique.
Le pirate a eu accès à 1Password, un gestionnaire de mots de passe que Van Andel utilisait pour stocker des mots de passe et d'autres informations sensibles, ainsi que des « cookies de session », des fichiers numériques stockés sur son ordinateur qui lui permettaient d'accéder à des ressources en ligne, notamment la chaîne Slack de Disney.
Van Andel a appris qu'il avait un problème à l'heure du déjeuner le jeudi 11 juillet, lorsqu'il a vu le message Discord de l'inconnu.
Il a pensé qu'il s'agissait d'une arnaque et a failli la supprimer, mais il a continué à lire et a vu la référence à sa conversation sur Disney Slack.
Van Andel a appelé la « fire team » de Disney, un groupe d'entreprise mis en place pour répondre rapidement aux cybermenaces. Ils ont confirmé que son compte Slack avait été piraté, mais n'ont rien vu de suspect sur son ordinateur portable professionnel et lui ont dit de vérifier ses appareils personnels.
Son logiciel antivirus n'avait rien détecté sur son PC, mais il a installé un deuxième programme antivirus qui a détecté le malware presque immédiatement.
Le pirate a déclaré qu'il faisait partie d'un groupe de hacktivistes basé en Russie. Il était sur l'ordinateur de Van Andel depuis cinq mois. Depuis le piratage, les chercheurs en sécurité affirment que Nullbulge est très probablement une seule personne et un Américain.
Alors que Van Andel était au téléphone avec l'équipe de réponse de Disney, le pirate a envoyé un e-mail indiquant clairement qu'il avait accès au compte de messagerie personnel de Van Andel.
Il s'est plaint que Van Andel avait marqué son premier message comme spam et qu'il avait ensuite mis le deuxième à la corbeille. Le pirate a prévenu qu'il allait entrer dans une nouvelle phase de sa campagne.
« Répondez, faites ce que vous voulez, ou vous finirez sur le net », a déclaré le pirate.
Pour autant que Van Andel le sache, il n'y avait qu'un seul moyen pour le pirate d'accéder à son courrier électronique : 1Password, le logiciel qu'il avait utilisé pour sécuriser sa vie numérique.
Évaluation des dégâts
Les jours suivants se sont écoulés dans un flou ; Van Andel a réinitialisé les centaines d'identifiants stockés dans son 1Password.
Le pirate a mis sa menace à exécution le lendemain matin et a publié en ligne tous les identifiants de connexion 1Password que Van Andel avait stockés.
Les comptes Roblox de ses enfants ont été piratés. Ses comptes de réseaux sociaux en ligne étaient remplis de propos offensants de la part d'inconnus qui utilisaient les identifiants divulgués.
Beaucoup de ces comptes, y compris les comptes de messagerie, étaient protégés par une authentification à deux facteurs. Le pirate avait besoin de plus qu'un nom d'utilisateur et un mot de passe pour pénétrer dans des comptes à deux facteurs. Les gens utilisent souvent un SMS ou une application mobile, mais le deuxième facteur utilisé par Van Andel était 1Password.
En enquêtant sur son intrusion, Van Andel s'est rendu compte que la clé de son royaume, le compte 1Password, n'était pas elle-même protégée par un deuxième facteur. Il ne nécessitait qu'un nom d'utilisateur et un mot de passe par défaut, et il n'avait pas pris la mesure supplémentaire d'activer l'authentification à deux facteurs.
Une fois qu'une personne a un programme troyen d'enregistrement de frappe sur son ordinateur, « un attaquant a un accès presque illimité », a déclaré un porte-parole de 1Password.
Un marché pour les identifiants volés a fleuri ces dernières années, tout comme les outils de piratage conçus pour les voler, selon les experts en cybersécurité.
Van Andel dormait ou mangeait à peine, et il a souffert de crises de panique. Peu de temps après avoir déposé une plainte auprès de la police, le pirate a publié ses informations personnelles en ligne. Il a commencé à recevoir des appels téléphoniques de médias et a reçu des appels et des SMS effrayants d'inconnus.
Onze jours après le début de l'épreuve, un représentant du département des ressources humaines de Disney a appelé pour dire que Van Andel avait été licencié à la lumière des conclusions de l'examen de l'ordinateur portable. "C'est moi qui ai été piraté", a-t-il déclaré au représentant des RH.
Son assurance maladie a été résiliée et il a perdu environ 200 000 $ de bonus.
Van Andel essaie de reprendre sa vie en main. Il a trouvé du travail contractuel pour l'aider à payer ses factures et sa sœur a lancé une campagne GoFundMe pour l'aider à payer ses dépenses.
Le 19 décembre, son avocat a envoyé une lettre de mise en demeure à Disney pour demander un dédommagement à huit chiffres pour la perte de salaire et la détresse émotionnelle.
Van Andel a déclaré qu'il voit toujours des signes en ligne indiquant que des personnes tentent d'utiliser les identifiants volés publiés par Nullbulge pour pirater ses comptes.
Écrivez à Robert McMillan à robert.mcmillan@wsj.com et à Sarah Krouse à sarah.krouse@wsj.com
Copyright ©2025 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
Paru dans l'édition imprimée du 27 février 2025 sous le titre « Un téléchargement innocent bouleverse la vie d'un travailleur ».