Une fuite massive de données suite à une attaque sur Michael Page
Des données en production ont été utilisées dans un serveur de développement

Le , par Coriolan, Chroniqueur Actualités
Le groupe de recrutement britannique Michael Page a été hacké et quelque 780 000 candidats ont vu leurs adresses email uniques volées ainsi que la fuite de données privées comme les noms, les lettres de présentation et les parcours professionnels. La fuite a été rapportée par le chercheur de sécurité Troy Hunt. Dans un billet de blog, il a affirmé que cette fuite de données MySQL dépasse les 30 GB, un volume énorme de données en fuite selon le chercheur.

La firme a reconnu la véracité des faits et a fait savoir que l’attaque a été menée le 31 octobre dernier et découverte le jour suivant. Elle a informé également que les hackers derrière cette attaque ont accepté volontiers de détruire les données dérobées, une déclaration que beaucoup ont du mal à croire.

Dans un premier temps, Michael Page a envoyé des emails à ses clients les informant que leurs noms, adresses email et mots de passe ont été pris par des hackers, néanmoins, les mots de passe ont été chiffrés. Toutefois, la firme est revenue avec une autre annonce pour informer que d’autres données privées ont été volées à savoir les numéros de téléphone, les localisations, les secteurs d’activité, les types d’emploi et les positions actuelles des clients.

La firme a blâmé son partenaire Capgemini pour cette fuite, en suggérant que les attaquants ont pu accéder aux données par le biais d’un serveur de développement exploité par Capgemini et utilisé pour tester les sites web de Michael Page. « Nous sommes désolés de vous informer que les détails que vous avez fournis lors de votre enregistrement mypage ont été identifiés comme ceux accédés [par les hackers]. Depuis qu’on a détecté cette attaque, nous avons travaillé en non-stop pour corriger ce problème en collaboration avec Capgemini, qui est un leader mondial en consulting, technologie et services de sous-traitement », a précisé Michael Page dans un email envoyé à ses clients.

La firme a précisé qu’elle a immédiatement verrouillé ses serveurs et sécurisé les points d’entrée. Elle a dû également mener une investigation pour comprendre la nature de l’attaque. Pour rassurer ses clients, Michael Page a informé qu’une requête a été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.

Cependant, parmi les clients de Michael Page, surtout ceux opérant dans le domaine de l’IT, beaucoup n’ont pas été heureux de savoir que des données personnelles en production ont été utilisées dans un serveur de développement sans aucune mesure de chiffrement ou d’anonymisation. « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »

Les clients de la firme se sont demandés également pourquoi ils ont dû attendre dix jours avant d’être informés. Ils ont appelé la firme à donner plus de détails sur la localisation du serveur de développement et les règles de protection qui ont été en vigueur ; pourquoi un serveur de développement a été rendu accessible par internet et si Michael Page ou Capgemini ont vraiment opéré dans le serveur un niveau d’accès pour administrateur seulement. Michael Page a fait savoir qu’elle ne donnera plus de détails sur cette fuite.

Source : Troy Hunt

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Xjames56X Xjames56X - Nouveau membre du Club https://www.developpez.com
le 13/11/2016 à 17:05
Heureusement que le ridicule ne tue pas
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 13/11/2016 à 18:03
« Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »

Folklorique.
La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production

edit : Matrice, modélisation en environnement fermé, apparemment ils ne connaissent pas ? D'accord ça coûte mais bonjour la réaction compréhensibles de(s) l'utilisateur(s). Heureusement que je ne suis plus dans ce fichier.
Avatar de atha2 atha2 - Membre éprouvé https://www.developpez.com
le 13/11/2016 à 19:40
Citation Envoyé par Coriolan  Voir le message
Michael Page a informé qu’une requête ait été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.

Juste énorme Alors déjà j'aimerai bien savoir comment ils ont contacté les pirates mais en plus ils leurs demandent de retourner les données ? On n'est pas dans le monde du bitcoins, les hackers peuvent très bien renvoyer les données et dire qu'ils les ont supprimés...
La seule raison que je vois qui pourrait justifier cette communication c'est qu'il y a eu une demande de rançon... Mais qui serait assez stupide pour payer ? Je suis peut-être naïf...(sic)

Citation Envoyé par marsupial  Voir le message
Folklorique.
La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production

Oh tu sais quand on voit que Tchernobyl a été causée par des tests sur un environnement de production (et qu'a mon avis c'est toujours le cas en général dans le nucléaire), on n'est plus à ça prêt...
Avatar de Grimly Grimly - Membre averti https://www.developpez.com
le 14/11/2016 à 10:01
Cependant, parmi les clients de Michael Page, surtout ceux opérant dans le domaine de l’IT, beaucoup n’ont pas été heureux de savoir que des données personnelles en production ont été utilisées dans un serveur de développement sans aucune mesure de chiffrement ou d’anonymisation. « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »

Je pense que cela soulève un problème dans le monde du développement de services. L'anonymisation des données n'est pas une petite opération et engendre un coût qui peut parfois être refusé pour réduire le budget investi.

Si Capgemini n'a pas proposé cette opération d'anonymisation (économies sur l'architecte ? Je trouverai ça étrange vu que l'entreprise ne se porte pas si mal), alors ce sont eux les fautifs qui, par devoir de conseil, auraient dû lever ces alertes.
Néanmoins, je sais que Capgemini ne donne pas de gros sujets comme ça aux jeunes tout juste sorti de l'école, je pense que cette opération a été proposée à Michael Page dans un lot supplémentaire que ce dernier n'a pas voulu dépenser. Dans ce cas alors la faute reviens d'abord à Michael Page qui ne tiens pas à avoir ses données protégées au mieux.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 14/11/2016 à 11:04
les affres de la sous-traitance ^^
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 14/11/2016 à 11:57
Pour rassurer ses clients, Michael Page a informé qu’une requête a été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.

J'imagine l'échange de mails:

Bonjour,
Nous avons constaté que vous nous avez volé 30 Gb de données. Merci de les détruire.
Cordialement.

Oups pardon désolé. Voilà c'est fait.
Cordialement.

Nous voilà rasurés
Avatar de J@ckHerror J@ckHerror - Membre expérimenté https://www.developpez.com
le 14/11/2016 à 14:26
Citation Envoyé par marsupial  Voir le message
Folklorique.
La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production

Je pense surtout qu'il voulait dire que les données perso ne se retrouvent jamais dans son environnement de dev, ce qui est plutôt louable. Il n'affirme pas faire des tests en prod...
En gros, il avait la bonne pratique de se créer un jeu d'essai en dev pour tester ces développement plutôt que de migrer les données personnelles de la prod vers le dev...

J@ck.
Avatar de Loceka Loceka - Expert confirmé https://www.developpez.com
le 15/11/2016 à 13:52
Suis-je le seul que ça fasse doucement rigoler ?

Sur absolument tous les projets sur lesquels je suis passés, les données n'étaient pas anonymisées.

Bon, sur un des projets il y avait un semblant d'anonymisation mais leur traitement n'était pas au point et au final tout était accessible quand même, mais sur les autres y'avait rien du tout.
Contacter le responsable de la rubrique Accueil