La fuite de données personnelles de 26,95 millions de personnes suite au piratage de SKT est d'un niveau plus grave que ce qui a été annoncé.

L'incident de piratage de SK텔레콤 (SKT) s'avère beaucoup plus grave que ce qui avait été initialement annoncé, ce qui suscite des répercussions. La commission d'enquête conjointe public-privé a publié le 19 une deuxième série de résultats, révélant que le nombre de serveurs infectés est passé de 5 à 23, et que plus de 26,95 millions de données personnelles ont été divulguées. De plus, la possibilité d'une fuite supplémentaire d'environ 290 000 numéros d'identification d'appareils (IMEI) accentue la gravité de la situation. La commission a confirmé que 23 serveurs au total ont été infectés par des logiciels malveillants, soit plus de quatre fois le nombre initial de 5. La quantité d'informations divulguées est également choquante : selon le numéro d'identification de l'abonné (IMSI), 26 957 749 données ont été compromises, dépassant largement le nombre total d'abonnés de SKT, y compris les cartes SIM intégrées dans les montres intelligentes et les appareils IoT. La possibilité de fuite des informations IMEI, initialement déclarée comme non divulguée, a également été révélée : parmi les serveurs infectés, deux contenaient 291 831 IMEI ainsi que des données sensibles telles que noms, dates de naissance, numéros de téléphone et adresses e-mail. En examinant les investissements en sécurité de SKT, certains soulignent que cette crise était prévisible. En 2024, SKT a consacré 60 milliards de won à la sécurité de l'information, soit un dixième des 600 milliards de won investis dans ses activités d'IA cette année-là, et moins de la moitié des 121,8 milliards de won dépensés par son concurrent KT. Le montant investi par abonné en sécurité de l'information était également nettement inférieur : 2 400 won pour SKT, contre 6 700 won pour KT et 4 000 won pour LG Uplus. En 2023, SKT a réduit ses investissements en sécurité de 4,4 % par rapport à 2022, tandis que KT et LG Uplus ont augmenté leurs investissements respectivement de 19,2 % et 116,4 %. La structure du système de sécurité de SKT a également été mise en lumière par cette crise. Bien qu’un responsable de la sécurité de l'information (CISO) ait été en poste, le pouvoir réel sur la sécurité du réseau relevait de l'équipe de sécurité de l'infrastructure sous la direction du département des opérations réseau, le CISO se limitant à un rôle politique. De plus, il a été révélé que SKT n’a organisé qu’une seule réunion de sécurité de l'information cette année. Malgré les avertissements de la société mondiale de sécurité Trend Micro en juillet et décembre 2024 concernant une possible attaque BPF door contre les opérateurs télécoms coréens, SKT n’en a pas pris conscience. La commission a découvert au total 25 types de logiciels malveillants, le premier ayant été installé le 15 juin 2022. La longue durée de l’attaque, s’étendant sur trois ans, ainsi que l’ampleur des dommages, soulèvent la nécessité de mesures à l’échelle nationale, dépassant le cadre de l’entreprise individuelle. Le président du groupe SK, Chey Tae-won, a reconnu après l’incident : « Jusqu’à présent, nous avons considéré la sécurité comme une simple question de télécommunications et d’informatique, et nous nous sommes appuyés uniquement sur une équipe dédiée. » SKT reste réticent à augmenter ses investissements en sécurité, déclarant qu’elle élaborera ses plans après la publication des résultats de l’enquête conjointe public-privé. Cet incident est considéré comme une illustration claire des limites de la philosophie de gestion de SKT, qui percevait la sécurité uniquement comme un coût, en tant que premier opérateur de télécommunications national.

===============================

Les informations ont été divulguées pendant trois ans en raison d'une faille de sécurité.

Toutes ces nombreuses appels de phishing et fuites de données personnelles provenaient en fait des opérateurs de télécommunications.

Le service de protection de la carte SIM est considéré comme inutile. Ils disent qu'il faut même changer de téléphone.

Je suis frustré.