IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB
800 000 comptes utilisateurs piratés

Le , par Patrick Ruiz

318PARTAGES

9  0 
La mise en œuvre des bases de données continue de susciter des débats, tant il y a eu d’épisodes à retentissement autour d’elle. Si l’on allie à celle-ci, les réalités de l’internet des objets (IdO) avec les avantages, mais surtout les dangers, on obtient assurément un mélange détonnant, un scoop. Le constructeur américain de jouets connectés CloudPets nous en offre un ce matin, un énorme scandale au centre duquel il se trouve : une importante fuite de données par le biais de son ours connecté lié à une base de données MongoDB.


Les colonnes de l’IBTimes UK font état ce matin de 800 000 comptes utilisateurs piratés. À cela s'ajoutent près de 2 millions d’enregistrements vocaux (supposés être en sécurité dans les serveurs de l’entreprise CloudPets) exposés, aux mains de hackers. Le phénomène n’est pourtant pas nouveau, on sait déjà que des pirates peuvent faire intrusion dans une base de données non sécurisée, en copier le contenu, l’effacer et retourner les données aux propriétaires contre rançon via le réseau Bitcoin. On sait aussi que le déploiement d’une base de données qu’elle soit relationnelle ou d’un autre type (c’est le cas de MongoDB) relève essentiellement de la responsabilité de l’administrateur qui doit veiller à parfaire les configurations pour endiguer les intrusions.

Revenons au cas CloudPets pour signaler que le chercheur en sécurité Troy Hunt a fait à ce sujet deux révélations : l’une soulignant le fait que CloudPets a laissé sa base de données libre d’accès et l’autre, qu’un tiers avait essayé de les contacter par trois fois pour les prévenir de cette faille dans leur système, cela, sans jamais avoir de réponse.

CloudPets n’a pour sa part pas encore confirmé les informations relatives à cette intrusion. Ce qui pose quand même un problème d’éthique. Ne dit-on pas que « les gens commettent des erreurs, mais c’est la façon dont ils réagissent qui détermine qui ils sont » ?

Source : IBTimes UK, Troy Hunt

Et vous ?

Qu'en pensez-vous ? Simple maladresse ou acte prémédité ?

Avez-vous déjà ou comptez-vous acheter un de ces jouets pour votre enfant ?

Voir aussi :

Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question

Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon, les administrateurs invités à vérifier leurs configurations

Les instances MongoDB prises en otage sont passées de 12 000 à plus de 27 000 en moins de 12 heures, d'après un chercheur

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Cafeinoman
Membre éprouvé https://www.developpez.com
Le 28/02/2017 à 15:14
Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
1  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 28/02/2017 à 16:26
Citation Envoyé par Cafeinoman Voir le message
Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
Holà... Tout de suite les grands mots! Ce n'est pas criminel, cela relève juste de l'incompétence!!!

Mais il est vrai que lorsque l'on finit par cumuler l'incompétence des mecs qui fournissent du logiciel avec des failles de sécurité, l'incompétence des concepteurs de hardware puis l'incompétence des mecs qui s'occupent de déployer le système et de l'administrer, cela ne se termine pas par un "accès aux données sécurisé à 100%"...

Mais est-ce vraiment eux les responsables (l'erreur étant humaine) ou la naïveté des promoteurs de la solution qui croient pouvoir fournir des systèmes online insensibles aux vilains hackers de tout poil???
0  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 28/02/2017 à 16:54
En fait les hackers sont presques les sauveurs dans cette histoire parce que la base Mongo s'est fait vider par un (ou 3 apparement!) ransomware et donc du coup les données sont protégéres maintenant

Enfin, pas tout à fait. Car il semble qu'en plus des emails et hash de mot de passes (ouf, ils sont pas en clair!), date de naissance, localisation des enfants, etc... la bdd contenait les liens vers les documents (images de profil, enregistrements vocaux...) qui sont directement accessibles sur Amazon S3, en download public... Et tout ça en deux versions : une version prod et test sur le même serveur

Et ce n'est pas 3 mais au moins 4 tentatives par 2 personnes pour les avertir du danger dès le 30 decembre. Aucune réponse de leur part. Il on cherché à nier ces messages reçus mais y'a des preuves que oui.

Bref...
0  0