Les données de plus de 2,2 millions de clients de Dow Jones & Co. exposées

En raison d'une erreur de configuration d'un serveur cloud

Les données de plus de 2,2 millions de clients de Dow Jones & Co. exposées
En raison d’une erreur de configuration d’un serveur cloud

Les informations personnelles et financières de 2,2 à 4 millions de clients de Dow Jones & Co., la compagnie mère du Wall Street Journal, ont récemment été exposées à cause d’une erreur de configuration d’un serveur cloud. La firme de sécurité UpGuard a notifié Dow Jones & Co. de la brèche en juin dernier et l’a rendue publique lundi dernier.

Chris Vickery, directeur de recherche chez UpGuard, a découvert les données au sein d’un dépôt du service de stockage S3 d’Amazon. Ce dernier avait été accidentellement configuré pour permettre à tout possesseur de compte AWS d’avoir accès aux dites données, un détail qu’a d’ailleurs confirmé un porte-parole de Dow Jones & Co., si l’on en croit les développements de l’International Business Times à ce sujet.

Noms, adresses domiciliaires et emails, identifiants de compte et numéros de carte de crédit – quatre derniers chiffres – de millions de souscripteurs à des publications d’entreprises filles du Dow Jones & Co. comme le Wall Street Journal ont ainsi été exposées jusqu’à ce que notification soit faite par UpGuard.

Des informations que le porte-parole de Dow Jones & Co. n’aurait pas jugées suffisamment importantes pour nécessiter que les clients soient notifiés. À ce propos, il souligne principalement le fait que les numéros de carte de crédit et les identifiants accessibles n’étaient pas de nature à poser de véritables risques pour la sécurité de ces derniers.

Chris Vickery, en réponse à cette intervention du porte-parole du Dow Jones, a tenu à mettre de l’emphase sur le fait que la connaissance des quatre derniers chiffres du numéro d’une carte de crédit peut permettre d’avoir accès au compte d’une tierce personne. Il a également ajouté que l’accès aux identifiants de compte expose les clients à des attaques par hameçonnage.

La récente fuite de données des électeurs américains – d’ailleurs considérée comme la plus grosse à ce jour –, celles plus récentes de Verizon et du WWE illustrent à souhait la recrudescence de ces cas qui ont d'ailleurs un dénominateur commun : l’erreur humaine.

Zohar Alon de la firme de sécurité Dome9, s’exprimant à ce sujet, a déclaré que « ces fuites de données auraient pu être évitées si les vérifications nécessaires avaient été effectuées » et d’ajouter que « les organisations doivent s’atteler à résoudre ces problèmes de mauvaise configuration. » Un clin d’œil donc aux entreprises et particulièrement à leurs administrateurs de bases de données.

Sources : UpGuard, IBT

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Un ancien administrateur IT de l'hébergeur hollandais Verelox efface toutes les données des utilisateurs et formate les serveurs de l'entreprise