Telefónica : fuite via Hellcat (Jira)
En janvier 2025, l'opérateur espagnol Telefónica a confirmé une intrusion (groupe Hellcat) dans son système de tickets interne, exposant données employés, clients et tickets Jira.
- Organisation
- Telefónica S.A.
- Secteur
- Télécom / FAI
- Pays
- Espagne
- Date des faits
- Intrusion le 9 janvier 2025, détectée et bloquée le 10 janvier 2025. Seconde fuite alléguée le 30 mai 2025.
- Ampleur
- ~24 000 employés (e-mails et noms) ; ~236 000 lignes de données clients et ~470 000 lignes de tickets internes (décomptes de lignes, non d'individus distincts)
- Vecteur
- identifiants compromis via infostealer puis ingénierie sociale (accès au serveur Jira interne)
- Données exposées
- E-mails et noms d'employés, Données clients (lignes de tickets), Tickets internes Jira, Documents internes (CSV, PDF, XLSX, PPTX, DOCX, MSG), Communications internes
En janvier 2025, l’opérateur de télécommunications espagnol Telefónica S.A. a confirmé une intrusion dans un système de gestion de tickets interne (serveur Jira de développement). Selon le communiqué transmis à BleepingComputer, l’accès non autorisé a été détecté et bloqué dès le 10 janvier 2025, après une compromission survenue la veille, suivie d’une réinitialisation des mots de passe concernés. L’incident est attribué à des acteurs liés au groupe Hellcat, qui auraient utilisé des logiciels voleurs d’informations (infostealers) pour dérober les identifiants d’employés, puis recouru à l’ingénierie sociale pour étendre leurs accès.
D’après les éléments concordants relayés par BleepingComputer et Infosecurity Magazine, les données diffusées sur un forum cybercriminel comprenaient environ 236 493 lignes de données clients, près de 469 724 lignes de tickets internes, plus de 5 000 documents internes (CSV, PDF, XLSX, PPTX, DOCX, MSG), ainsi que les e-mails et noms d’environ 24 000 employés. Il s’agit de décomptes de lignes ou d’enregistrements, qui ne correspondent pas nécessairement à autant de personnes distinctes. Telefónica étant une entreprise espagnole, les données concernent directement des personnes situées en Espagne et plus largement dans l’Union européenne, notamment ses salariés.
Telefónica a confirmé la réalité de l’intrusion de janvier sans la qualifier de demande de rançon : les attaquants n’auraient pas cherché à extorquer l’entreprise mais publié les données. Une seconde fuite a été alléguée le 30 mai 2025 par un acteur se présentant sous l’alias « Rey », membre revendiqué de Hellcat, faisant état d’environ 106,3 Go de données exfiltrées via une mauvaise configuration Jira. Cette seconde allégation n’a pas été reconnue officiellement : un porte-parole l’a qualifiée de « tentative d’extorsion à partir d’informations périmées issues d’un incident déjà connu ».
À retenir, avec prudence sur les éléments non confirmés : l’intrusion de janvier 2025 est confirmée par Telefónica et recoupée par plusieurs sources presse réputées, tandis que la fuite de mai 2025 reste alléguée. Aucune sanction publique d’une autorité de protection des données (AEPD espagnole) liée spécifiquement à ces incidents n’a été identifiée à la date de rédaction.