Le groupe de recrutement britannique Michael Page a été hacké et quelque 780 000 candidats ont vu leurs adresses email uniques volées ainsi que la fuite de données privées comme les noms, les lettres de présentation et les parcours professionnels. La fuite a été rapportée par le chercheur de sécurité Troy Hunt. Dans un billet de blog, il a affirmé que cette fuite de données MySQL dépasse les 30 GB, un volume énorme de données en fuite selon le chercheur.
La firme a reconnu la véracité des faits et a fait savoir que l’attaque a été menée le 31 octobre dernier et découverte le jour suivant. Elle a informé également que les hackers derrière cette attaque ont accepté volontiers de détruire les données dérobées, une déclaration que beaucoup ont du mal à croire.
Dans un premier temps, Michael Page a envoyé des emails à ses clients les informant que leurs noms, adresses email et mots de passe ont été pris par des hackers, néanmoins, les mots de passe ont été chiffrés. Toutefois, la firme est revenue avec une autre annonce pour informer que d’autres données privées ont été volées à savoir les numéros de téléphone, les localisations, les secteurs d’activité, les types d’emploi et les positions actuelles des clients.
La firme a blâmé son partenaire Capgemini pour cette fuite, en suggérant que les attaquants ont pu accéder aux données par le biais d’un serveur de développement exploité par Capgemini et utilisé pour tester les sites web de Michael Page. « Nous sommes désolés de vous informer que les détails que vous avez fournis lors de votre enregistrement mypage ont été identifiés comme ceux accédés [par les hackers]. Depuis qu’on a détecté cette attaque, nous avons travaillé en non-stop pour corriger ce problème en collaboration avec Capgemini, qui est un leader mondial en consulting, technologie et services de sous-traitement », a précisé Michael Page dans un email envoyé à ses clients.
La firme a précisé qu’elle a immédiatement verrouillé ses serveurs et sécurisé les points d’entrée. Elle a dû également mener une investigation pour comprendre la nature de l’attaque. Pour rassurer ses clients, Michael Page a informé qu’une requête a été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.
Cependant, parmi les clients de Michael Page, surtout ceux opérant dans le domaine de l’IT, beaucoup n’ont pas été heureux de savoir que des données personnelles en production ont été utilisées dans un serveur de développement sans aucune mesure de chiffrement ou d’anonymisation. « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »
Les clients de la firme se sont demandés également pourquoi ils ont dû attendre dix jours avant d’être informés. Ils ont appelé la firme à donner plus de détails sur la localisation du serveur de développement et les règles de protection qui ont été en vigueur ; pourquoi un serveur de développement a été rendu accessible par internet et si Michael Page ou Capgemini ont vraiment opéré dans le serveur un niveau d’accès pour administrateur seulement. Michael Page a fait savoir qu’elle ne donnera plus de détails sur cette fuite.
Source : Troy Hunt
Et vous ?
Qu'en pensez-vous ?
Une fuite massive de données suite à une attaque sur Michael Page
Des données en production ont été utilisées dans un serveur de développement
Une fuite massive de données suite à une attaque sur Michael Page
Des données en production ont été utilisées dans un serveur de développement
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !