### Détails de la violation La **Commission européenne** a publiquement reconnu la violation de données le 27 mars, suite à des demandes de BleepingComputer. L'incident provenait d'un compromis de l'environnement cloud **Amazon Web Services (AWS)** de la Commission. Le **CERT-EU** a été informé de l'intrusion le 24 mars, cinq jours après la violation initiale, soulignant un délai dans la détection de l'activité malveillante. ### Vecteur d'attaque : Identifiants AWS volés Le 19 mars, **TeamPCP** a exploité une clé API AWS compromise, lui accordant des droits d'administration sur d'autres comptes AWS de la **Commission européenne**. La clé API a été volée lors de l'attaque de la chaîne d'approvisionnement **Trivy**. Les attaquants ont ensuite utilisé **TruffleHog**, un outil conçu pour scanner et valider les identifiants cloud, afin de découvrir des secrets supplémentaires. Pour échapper à la détection, ils ont attaché une clé d'accès nouvellement créée à un compte utilisateur existant avant de procéder à la reconnaissance et au vol de données. ### Modus Operandi de TeamPCP **TeamPCP** a un historique d'orchestration d'attaques de la chaîne d'approvisionnement ciblant des plateformes de code développeur telles que **GitHub**, **PyPi**, **NPM** et **Docker**. Le groupe était également derrière le compromis du package **LiteLLM PyPI**, déployant le malware voleur d'informations "TeamPCP Cloud Stealer" qui a affecté des dizaines de milliers d'appareils. ### Fuite de données et impact Le 28 mars, le groupe d'extorsion de données **ShinyHunters** a publié les données volées sur son site de fuite du dark web. L'archive, totalisant 90 Go (340 Go non compressés), contenait des noms, des adresses e-mail et le contenu des e-mails. L'analyse du **CERT-EU** a confirmé le vol de dizaines de milliers de fichiers contenant des informations personnelles, des noms d'utilisateur et le contenu des e-mails. La violation affecte potentiellement 42 clients internes de la **Commission européenne** et au moins 29 autres entités de l'Union utilisant le service d'hébergement web europa.eu.  "L'acteur de la menace a utilisé le secret AWS compromis pour exfiltrer des données de l'environnement cloud affecté. Les données exfiltrées concernent des sites web hébergés pour jusqu'à 71 clients du service d'hébergement web Europa : 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union", a déclaré le **CERT-EU**. L'ensemble de données divulgué comprend des données personnelles telles que des noms, des noms d'utilisateur et des adresses e-mail, provenant principalement des sites web de la **Commission européenne**, mais potentiellement relatives à des utilisateurs de plusieurs entités de l'Union. Il contient également au moins 51 992 fichiers liés aux communications sortantes par e-mail, totalisant 2,22 Go. Bien que la majorité de ces communications soient des notifications automatisées, les notifications de "rebond" peuvent contenir du contenu soumis par l'utilisateur, présentant un risque d'exposition de données personnelles. Le **CERT-EU** a confirmé qu'aucun site web n'a été mis hors service ou falsifié, et qu'aucun mouvement latéral vers d'autres comptes AWS de la Commission n'a été détecté. La **Commission européenne** a notifié les autorités de protection des données compétentes et est en communication directe avec les entités affectées. L'analyse des données exfiltrées est en cours et devrait prendre un temps considérable. Cet incident fait suite à une précédente violation de données divulguée par la **Commission européenne** en février, qui impliquait une plateforme de gestion des appareils mobiles compromise utilisée pour gérer les appareils du personnel.