Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement,
Découverte faite par des chercheurs en sécurité de la société vpnMentor

Le , par Jonathan

22PARTAGES

11  0 
Ces derniers temps, les cas d’exposition des données d’utilisateurs sont très fréquents. Le cas d’octobre dernier où les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées via une base de données Elasticsearch non sécurisée en est un exemple. Et le 1er décembre dernier, une équipe de chercheurs a annoncé avoir découvert une importante base de données exposée en ligne de façon non sécurisée (sans chiffrement des données) et en accès libre pour tous. Tout ceci pourrait pousser à penser que les entreprises en possession de ces données ne font pas assez d’efforts pour assurer la sécurité des informations de leurs utilisateurs.

C’est dans le cadre d’un vaste projet de cartographie web que les chercheurs en sécurité Noam Rotem et Ran Locar puisqu’il s’agit d’eux, ont fait cette découverte. Ils font partie de la société de protection de la vie privée en ligne appelée vpnMentor. Il se trouve que cette base de données est gérée par la société de communication américaine nommée TrueDialog et contenait des dizaines de millions de SMS. La société est basée est à Austin, au Texas et existe depuis plus de 10 ans. Elle est spécialisée dans la création de solutions SMS pour les grandes et les petites entreprises. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.


C’est en effectuant un balayage des ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes que les chercheurs ont fait cette découverte. Ils ont ensuite utilisé des techniques expertes pour vérifier l'identité de la base de données et par la suite, ils ont alerté l’entreprise concernée. Il se trouve que les chercheurs ont pu accéder à cette base de données, car elle était complètement non sécurisée et sans aucun chiffrement. Grâce à un simple navigateur, ils ont pu manipuler les critères de recherche d'URL pour exposer les schémas de base de données en question.

Après avoir été informée de l’exposition de sa base de données, la société TrueDialog l’a immédiatement mise hors ligne, mais n’a jamais daigné répondre à vpnMentor. C’est ce qu’ont déclaré les chercheurs : « Nous avons contacté la société. Nous avons divulgué nos conclusions et offert notre expertise pour les aider à fermer la fuite de données et à assurer que personne ne soit exposé à un risque. La base de données a été fermée depuis, mais TrueDialog ne nous a jamais répondu ».

La base de données exposée contenait près d’un milliard d’entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, ainsi que des mots de passe et noms d’utilisateur pour des sites tels que Google et Facebook. Les informations personnelles contenues dans les SMS exposés pourraient constituer un atout pour les fraudeurs. Elles pourraient également servir à faire du chantage, conduire au vol d'identité et à la fraude.

Source : VPN Mentor

Et vous ?

Qu’en pensez-vous ?
Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?

Voir aussi :

Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs à cause d'un SDK malveillant sur Android
Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées via une base de données Elasticsearch non sécurisée
108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Thomasa21
Membre averti https://www.developpez.com
Le 02/12/2019 à 14:55
Citation Envoyé par Jonathan Voir le message
Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?
Puisque les sanctions financières n'ont pas l'air de marcher, la preuve avec Facebook qui a écopé d'une amende record de 5 milliards de dollars, moi je pense qu'il faille faire courir la peine de prison aux dirigeants de ces entreprises en cas de telles négligences. ça aura le mérite de les pousser à se soucier un tout petit peu des données de leurs utilisateurs.
4  0 
Avatar de sacdebille
Membre à l'essai https://www.developpez.com
Le 02/12/2019 à 15:08
S'ils réussissent à décrypter les SMS de mes enfants je suis preneur
2  0 
Avatar de Michel Rotta
Expert éminent https://www.developpez.com
Le 02/12/2019 à 16:28
RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 qui suivent la prise de connaissance de la fuite.

RGPD, article 34.1. Obligation d'informer toutes les personnes physique en cas de fuite de données dans le cas où la fuite "[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, …"

La sanction s'exprime en millions d'euro.

J'espère que leur DPO a fait le nécessaire.
[/FONT]
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 03/12/2019 à 18:17
Citation Envoyé par Michel Rotta Voir le message
RGPD, ....

La sanction s'exprime en millions d'euro.

J'espère que leur DPO a fait le nécessaire.
Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.
2  0 
Avatar de Thomasa21
Membre averti https://www.developpez.com
Le 03/12/2019 à 20:26
Citation Envoyé par transgohan Voir le message
Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.
Source ??
1  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 05/12/2019 à 9:09
Citation Envoyé par Jonathan Voir le message
À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés,
5 milliards, really ?
On est combien d'habitants sur cette pauvre planète, déjà ? Bientôt 7 milliards ? Et personne n'a tiqué ?

Citation Envoyé par Michel Rotta Voir le message
RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 * qui suivent la prise de connaissance de la fuite.
* = nanosecondes ? minutes ? jours ? années ? millénaires ?
1  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 04/12/2019 à 16:14
Euh... Le bon sens ?
Le RGPD est appliquée par la CNIL, qui est au mieux européenne.
Donc elle n'a pas action à protéger les droits des américains, seulement des européens.
0  0