La société Fintech Figure Technology Solutions a subi une violation de données affectant près d’un million de personnes après que des attaquants ont divulgué certains fichiers contenant des informations personnelles.
Selon son site Web, Figure, basé à Reno, dans le Nevada, compte plus de 250 partenaires, dont des partenaires B2B, des banques, des coopératives de crédit, des fintechs et des entreprises de rénovation domiciliaire.
La violation de données de Figure est devenue publique le 13 février après que ShinyHunters ait répertorié l’entreprise sur un site de violation de données et publié les informations volées.
La violation de données numériques affecte environ 1 million de clients
La société blockchain affirme que l’attaquant n’a copié qu’un « nombre limité de fichiers », mais n’a pas divulgué quelles informations personnelles ont été compromises, le nombre de victimes ou l’identité de l’attaquant. Cependant, la société de technologie financière est en train d’informer les personnes et partenaires concernés.
Selon le site Web de suivi des violations de données Have I Been Pwned (HIBP), les données divulguées comprennent 967 200 adresses e-mail uniques représentant le nombre de victimes. HIBP a déclaré que les informations remontaient à janvier 2026 et comprenaient le nom, la date de naissance, l’adresse et le numéro de téléphone de la victime.
« Les données divulguées remontent à janvier 2026 et contenaient plus de 900 000 adresses e-mail uniques, ainsi que des noms, numéros de téléphone, adresses et dates de naissance. »
Bien qu’ils ne soient pas aussi sensibles qu’un numéro de carte de crédit ou un numéro de sécurité sociale, les pirates peuvent utiliser les informations divulguées pour cibler les victimes et les inciter à divulguer des informations plus sensibles.
Les victimes doivent alors être à l’affût des messages suspects prétendant provenir d’entreprises de technologie financière pour éviter d’être victimes de phishing et d’escroqueries.
« Cette violation des chiffres rappelle que les données non financières restent un risque au niveau financier », a déclaré Pete Ruban, RSSI de terrain chez AttackIQ. « Avec les informations personnelles de près d’un million de comptes exposées, les attaquants disposent désormais de tout ce dont ils ont besoin pour contourner de manière convaincante la vérification de l’identité et mener des campagnes de phishing et de vishing hautement ciblées qui peuvent potentiellement attaquer à la fois les clients et l’écosystème de partenaires de Figure.
« Les attaques d’ingénierie sociale comme celle-ci continuent de renforcer la vérité inconfortable selon laquelle le chemin le plus rapide vers des données sensibles passe souvent par les personnes et les canaux d’accès qu’elles sont autorisées à utiliser », a ajouté Luban.
ShinyHunters revendique une violation de données dans une entreprise de technologie financière
Le célèbre groupe de piratage ShinyHunters était responsable de la violation de données Figure et a publié un total de 2,5 Go de données volées sur un site divulgué utilisé par les cybercriminels pour extorquer des rançons aux victimes.
Cependant, on ne sait toujours pas si les attaquants ont exigé une rançon avant de publier les informations volées en ligne. Néanmoins, le groupe accuse Figure d’avoir tenté de dissimuler la violation de données en « perte de temps », une accusation courante contre les entreprises qui refusent de payer des rançons.
La société de technologie financière n’a pas publié beaucoup d’informations sur la violation de données, mais elle a révélé qu’elle avait été divulguée par le biais d’une attaque d’ingénierie sociale au cours de laquelle les employés ont été amenés à authentifier l’auteur de la menace.
ShinyHunters a perfectionné l’art de l’ingénierie sociale pour infiltrer plusieurs entreprises, dont Salesforce, et cibler leurs clients et partenaires commerciaux, dont Google.
La violation de données Figure était liée à une attaque d’ingénierie sociale contre la plateforme de gestion d’identité Okta qui a également affecté CrunchBase, SoundCloud, la plateforme d’investissement Betterment, l’Université Harvard et l’Université de Pennsylvanie (UPenn).
« Cet incident s’inscrit dans la stratégie récente de ShinyHunters consistant à infliger des dégâts rapides et importants via l’ingénierie sociale en mettant l’accent sur le SSO, où une seule identité compromise peut devenir une clé principale pour les applications et les magasins de données en aval », a déclaré Luban. « Les stratégies d’atténuation doivent correspondre à cette réalité. Donner la priorité à l’authentification multifacteur résistante au phishing et appliquer l’accès conditionnel et le moindre privilège pour les sessions SSO sont des mesures essentielles pour se défendre de manière proactive contre les futures campagnes ShinyHunters. »
Madiant a averti en janvier que les groupes d’extorsion développaient les attaques de phishing vocal (vishing) pour obtenir des informations d’identification d’authentification unique (SSO) et des codes d’authentification multifacteur (MFA) à partir des environnements d’entreprise.
De plus, nous avons observé que ce groupe menaçant a accru ses tactiques d’extorsion, notamment en harcelant les employés de ses partenaires commerciaux. Ses nouvelles tactiques incluent l’utilisation de sites Web de victimes pour collecter les informations de connexion. ShinyHunters a également publié une boîte à outils de phishing personnalisée adaptée aux besoins spécifiques d’un appelant, notamment en fournissant un contexte de support correspondant au flux d’authentification de la victime.
