Une basé de données non protégée par mot de passe a divulgué plus de 60 millions d'enregistrements des clients d’une entreprise d'hébergement d'applications dans le Cloud. L’information vient d’un article publié jeudi par Secure Thoughts, qui a collaboré avec l'expert en sécurité informatique Jeremiah Fowler pour révéler une fuite massive de données qui aurait mis en danger les clients de la société Cloud Clusters Inc. Mais les données ont été sécurisées depuis lors.
Selon l’article, Jeremiah Fowler, chercheur en cybersécurité, a découvert le 5 octobre une base de données non protégée par mot de passe qui contenait une grande quantité de données. Selon Fowler, il y avait des sauvegardes de données, les enregistrements de monitoring, les journaux des erreurs, et plus encore. Les enregistrements contenaient les identifiants des utilisateurs et des mots de passe pour Magento, les comptes WordPress et MySql. Magento est une plateforme de commerce électronique utilisée pour vendre des produits ou des services et WordPress est un système de gestion de site Web développé en PHP.
Selon Fowler, ces enregistrements étaient accessibles au public et aucun piratage informatique n'a été nécessaire pour voir les 63,7 millions d'enregistrements. Si un cybercriminel avait eu accès à ces informations, il aurait pu potentiellement compromettre ces sites et ces comptes de commerce électronique. Fowler ne dit pas que les clients de l’hébergeur courent un danger réel, mais le chercheur ne sait pas non plus exactement pendant combien de temps ces enregistrements ont été exposés ni qui d'autre aurait pu avoir accès à ces données.
Suite à la découverte de la base de données laissée sans protection, le chercheur a effectué des recherches plus approfondies et s’est rendu compte que la base de données semblait appartenir à Cloud Clusters Inc., fournisseur d'hébergement d'applications dans le Cloud basé au Texas. Selon le site Web de la société, l’hébergeur dispose de quatre centres de données dans quatre villes américaines, dont Bend dans l’Oregon, Charlotte en Caroline du Nord, Denver au Colorado, et Dallas au Texas.
Après avoir envoyé un avis de divulgation responsable de ses conclusions, l’entreprise a fermé l'accès du public aux données peu de temps après. Mais si Cloud Clusters a pris des mesures pour sécuriser les données, la société n'a pas répondu au premier message de Fowler. C’est après un deuxième courriel de suivi envoyé le 13 octobre, qu’il a reçu un accusé de réception qui disait : « Merci d’avoir signalé les problèmes pour améliorer la sécurité du site Web. Nous prenons également la sécurité des données très au sérieux ». Il n'est pas clair si Cloud Clusters Inc avait notifié les clients ou les autorités concernant l'exposition, d’après Fowler.
Les enregistrements qui étaient accessibles reliaient plusieurs noms d'entreprises qui fournissent toutes des services similaires d'hébergement et de gestion de données sous l'égide de Cloud Clusters, selon les conclusions du chercheur. Fowler a même dit qu’il était difficile de dire combien de services ces fournisseurs exploitaient, vu la quantité massive d'enregistrements. Mais les noms qu’il a vus incluaient des noms tels que Mgtclusters, Hyper-v-mart, et plusieurs variantes de Cloudclusters.
D'après le site Web de Cloud Clusters Inc, la société « a été fondée en 2017 par la même équipe de Database Mart LLC (DBM), une société privée du Texas. DBM fournit des VPS et des services d'hébergement de serveurs dédiés à des clients internationaux depuis 2005, avec un excellent service à la clientèle. Cloud Clusters Inc fournit des services d'applications open source entièrement gérés sur le Cloud Kubernetes ».
C’est pourquoi le chercheur en sécurité a estimé que la divulgation des informations de connexion aurait pu mettre les comptes et les acheteurs en danger. Ils auraient pu être ciblés par des tentatives d'ingénierie sociale ou de phishing à l'aide des courriels et des identifiants exposés.
L’importance d’une meilleure protection des données de journalisation
Selon le rapport de Fowler, la plupart des entreprises se concentrent sur la protection des données de leurs actifs principaux et oublient souvent que les journaux peuvent également être exposés aux incidents. Le contrôle insuffisant des journaux est un problème majeur qui peut exposer des données internes sensibles.
Selon Fowler, « les journaux peuvent exposer un large éventail de données, telles que les connexions, les échecs de connexion et d'autres transactions critiques. C'est un problème important auquel de nombreuses entreprises sont confrontées et, dans la plupart des cas, elles ne se rendent même pas compte que leurs systèmes de monitoring ou de journalisation des erreurs exposent des données avant qu'il ne soit trop tard ».
« Presque tous les systèmes génèrent un certain type de journalisation et il est important de s'assurer que tout fonctionne correctement et de garder une trace des événements. Il est essentiel que les politiques de sécurité ou de protection des données comprennent un plan de surveillance et d'examen des messages provenant de ces journaux. Ainsi, si les journaux exposent des données sensibles, des mesures peuvent être prises pour les traiter comme un actif à haut risque », lit-on dans le rapport.
La base de données sans protection exposait 63 747 966 enregistrements au total :
Les enregistrements du monitoring et les journaux contenaient les noms d'utilisateurs, les adresses électroniques des utilisateurs et les mots de passe de plusieurs services (Magento, WordPress, MySQL) en texte clair ; un panneau de clients et chemins de connexion et données de connexion des employés ; une preuve de l'attaque du bot Meow (un script malveillant qui supprime des données) ; des logiciels intermédiaires et informations de compilation qui pourraient permettre un chemin secondaire pour les logiciels malveillants ; des adresses IP, ports, chemins d'accès et informations de stockage que les cybercriminels pourraient exploiter pour accéder plus profondément dans le réseau, d’après le rapport.
« Une violation de données ou un incident de sécurité est un cauchemar pour toute entreprise ou organisation, mais c'est encore pire si vous êtes une entreprise qui fournit des services d'hébergement de données. Les clients et les consommateurs ne peuvent prendre qu'un certain nombre de précautions en matière de protection des données et doivent finalement faire confiance à leur fournisseur de stockage de données », a conclu Fowler.
« Les cybercriminels font preuve de plus en plus de créativité dans la manière dont ils ciblent leurs victimes afin de commettre des vols d'identité par logiciels malveillants ou des campagnes de phishing. Les entreprises doivent faire plus pour protéger leurs utilisateurs des menaces en ligne et utiliser tous les outils nécessaires pour assurer la meilleure protection de la vie privée en ligne. Il s'agit notamment de sécuriser les enregistrements des journaux et du monitoring qui peuvent exposer des données sensibles », lit-on.
L’exposition de données utilisateur est devenue un thème récurrent ces dernières années. GrowDiaries, une communauté en ligne où les cultivateurs de marijuana peuvent bloguer sur leurs plantes et interagir avec d'autres cultivateurs, a exposé quelque 3,4 millions d'enregistrements d'utilisateurs et de mots de passe d’utilisateurs en septembre dernier. Bob Diachenko, consultant indépendant en cybersécurité, a trouvé en ligne dans une base de données exposée au public les noms d'utilisateurs, les adresses e-mail, les adresses IP et autres.
Source : Jeremiah Fowler
Et vous ?
Qu’en pensez-vous ?
Les entreprises devraient accorder une meilleure protection aux enregistrements de journalisation. Quel commentaire en faites-vous ?
Voir aussi :
Sopra Steria confirme la nouvelle version de Ryuk derrière la cyberattaque sur ses opérations, et affirme que pas un seul client n'a été touché par l'attaque au rançongiciel
Les opérateurs derrière les ransomwares ne suppriment pas toujours les données volées aux entreprises qui ont payé des rançons, selon un rapport de Coveware
Campari Group victime du ransomware Ragnar Locker. Les cybercriminels ont volé 2 To de données sensibles, et demandent 15 Ms$ pour déverrouiller les fichiers et supprimer les données volées
Deux applications Kibana non sécurisées exposent les mots de passe de deux millions de cultivateurs de marijuana, stockés en utilisant la fonction de hachage MD5 faible
Un fournisseur d'hébergement a divulgué 63 millions de documents, y compris les identifiants Magento et WordPress,
Une base de données non protégée est à l'origine de la fuite de données
Un fournisseur d'hébergement a divulgué 63 millions de documents, y compris les identifiants Magento et WordPress,
Une base de données non protégée est à l'origine de la fuite de données
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !