Sprawa ta wyszła na jaw, gdy cyberprzestępca opublikował szczegóły dotyczące wycieku na forum hakerskim. Była to reakcja na nieudane próby wymuszenia okupu od firmy. Rey podał, że atak nie był oficjalną operacją grupy ransomware HellCat, choć sam haker jest z nią powiązany. Co istotne, Orange potwierdziło incydent, zaznaczając, że naruszenie miało miejsce w aplikacji niekrytycznej. Firma natychmiast podjęła działania mające na celu ocenę szkód i ograniczenie skutków.
Zakres skradzionych informacji
Według informacji przekazanych przez hakera, głównym celem ataku był rumuński oddział Orange. Skradzione dane obejmują 380 tysięcy unikalnych adresów e-mail, kod źródłowy, faktury, umowy oraz informacje dotyczące klientów i pracowników. Wyciek objął zarówno aktualne dane, jak i te pochodzące sprzed kilku lat, co potwierdzają przykłady adresów e-mail osób, które współpracowały z Orange Romania ponad pięć lat temu. Rey utrzymuje, że przez ponad miesiąc miał dostęp do systemów Orange, co pozwoliło na systematyczne gromadzenie danych. Najbardziej intensywne działania miały miejsce podczas weekendu, kiedy to przez około trzy godziny pracowano nad wydobyciem dokumentów. W tym czasie firma nie wykryła żadnej podejrzanej aktywności. Przykłady danych udostępnionych w sieci obejmują adresy e-mail byłych i obecnych pracowników, partnerów oraz kontrahentów Orange Romania, a także częściowe dane kart płatniczych rumuńskich klientów.
Reakcja firmy i działania naprawcze
Dane kart płatniczych, które wyciekły, w wielu przypadkach były już nieaktywne, co może łagodzić potencjalne skutki finansowe dla poszkodowanych. Jednak oprócz nich, w wycieku znalazły się też informacje o klientach usługi subskrypcyjnej Yoxo, oferowanej przez Orange bez okresu umowy. Według informacji przekazanych przez hakera, dostęp do systemów Orange był możliwy dzięki wykorzystaniu naruszonych danych uwierzytelniających oraz luk w oprogramowaniu Jira, wykorzystywanego przez firmę do zarządzania projektami i śledzenia błędów. To właśnie te luki umożliwiły pobranie blisko 12 tysięcy plików o łącznej wielkości niemal 6,5 GB. Haker ujawnił, że po zakończeniu operacji zostawił notatkę z żądaniem okupu, ale Orange nie podjęło negocjacji.
Konsekwencje i przyszłe zabezpieczenia
Przedstawiciele Orange potwierdzili prowadzenie szczegółowego dochodzenia, współpracując przy tym z odpowiednimi organami ścigania. Firma zobowiązała się do regularnego informowania o postępach prac oraz do przestrzegania wszystkich wymogów prawnych związanych z takim incydentem. Orange podkreśla, że ich zespoły ds. cyberbezpieczeństwa i IT pracują intensywnie, aby zminimalizować skutki naruszenia i zapobiec podobnym sytuacjom w przyszłości. Atak na Orange wpisuje się w szerszy kontekst działań grupy HellCat. Członkowie tej grupy przyznali się do wcześniejszych ataków na Schneider Electric oraz hiszpańską firmę telekomunikacyjną Telefónica, gdzie skradziono odpowiednio 40 GB i 2,5 GB dokumentów. W obu przypadkach wykorzystano te same luki w zabezpieczeniach serwerów Jira.
Eksperci ds. cyberbezpieczeństwa ostrzegają, że tego typu incydenty mogą prowadzić do dalszych prób wyłudzeń, oszustw oraz kradzieży tożsamości, szczególnie gdy dane trafiają na fora hakerskie. Dla firm takich jak Orange oznacza to konieczność jeszcze bardziej zaawansowanego monitoringu systemów oraz regularnego przeglądu zabezpieczeń.
