Le Cloud, l'un des principaux moteurs de la transformation numérique, présente de nombreux avantages tels que la réduction des coûts de maintenance, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi, etc. Ces avantages cités, entre autres, permettent aux organisations de booster leur productivité à des coûts réduits. Cependant, plusieurs parmi celles qui ont adopté le Cloud ne disposent pas de son outil de sécurité de base.
En juillet dernier, une société de cyber-résilience a révélé l’exposition de 157 Go de données de plus d'une centaine d'entreprises manufacturières sur un serveur public non sécurisé. Environ un mois après, un chercheur en sécurité a révélé une nouvelle vulnérabilité de plateforme Web.
Selon le chercheur, une compagnie de distribution des logiciels espions pour téléphones cellulaires auprès des parents et des employeurs a laissé exposer des « téraoctets de données » personnelles dans un compartiment Amazon S3 (Simple Storage Service) mal protégé. Les données exposées sont composées des selfies, des messages texte, des enregistrements audio, des contacts, des données de localisation, des mots de passe et des identifiants hachés, des messages Facebook, entre autres, selon le chercheur.
Le compartiment d’Amazon S3 non protégé, à travers lequel les données de milliers de clients ainsi que des informations sur des personnes sous surveillance ont été exposées, appartenait à Spyfone, une société spécialisée dans la distribution des applications conçues pour intercepter des messages texte, des appels, des e-mails et suivre l’emplacement d’un appareil surveillé.
Au moins 2 208 clients actuels sont concernés et plusieurs téraoctets de « photos caméra non sécurisées » ont été exposées ainsi que « des centaines ou des milliers de photos et d’audio dans chaque dossier », a déclaré le chercheur. « Il y a actuellement 3 666 téléphones suivis. », a-t-il ajouté.
Le chercheur a pu accéder à toutes ces données des clients et des personnes suivies par le biais des comptes administrateurs créés sans difficultés sur la plateforme de Spyfone dont la connexion aux services back-end ne nécessitait pas de mot de passe.
Troy Hunt, administrateur de « have i been pwned », site Web de vérification de violation de comptes, après analyse des données reçues du chercheur, a découvert que 44 109 adresses électroniques uniques ont également été exposées.
Une API du distributeur de logiciels espions était aussi laissée sans protection qui pourrait permettre à des pirates d’exploiter une liste régulièrement actualisée de noms et prénoms, adresses e-mail et IP. La liste comptait plus de 11 000 adresses e-mail uniques.
Mercredi, Steve McBroom, un représentant de Spyfone, a confirmé la fuite de données « qui affectait environ 2 200 de nos clients », et déclaré que Spyfone a ouvert une enquête sur la fuite de données tout en exprimant son soulagement que la brèche ait été découverte par une personne de bonnes intentions.
« Nous nous sommes associés à des sociétés de sécurité des données de premier plan pour nous aider dans notre enquête et nous continuons à nous concerter avec les autorités chargées de l'application de la loi à ce sujet. Chaque jour, notre équipe fait de grands progrès pour améliorer la sécurité de notre site et nous prévoyons certainement que cette récente violation de données est la dernière », a déclaré McBroom. « Des communications concernant la violation et l'enquête ont été envoyées à nos clients. », a-t-il ajouté.
Source : Motherboard
Et vous ?
Qu’en pensez-vous ?
Pourquoi les organisations laissent-elles exposer leurs données d’abord avant de penser à des mesures de sécurité ensuite ?
Voir aussi
Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées, sur un serveur public non sécurisé
Timehop : un piratage expose les données d'environ 21 millions d'utilisateurs, mais les photos et messages des réseaux sociaux n'ont pas été affectés
Une erreur de configuration sur un bucket Amazon S3 a exposé des infos de GoDaddy, le plus grand bureau d'enregistrement de noms de domaine du monde
Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée, à cause d'un service de stockage qui n'a pas été sécurisé
Suède : L'agence des transports expose des données confidentielles du pays que son ministre qualifie de désastre, l'agence relativise son exploitation
Une société de spyware a exposé des « téraoctets » de données personnelles,
Y compris des selfies, des messages texte et des données de localisation
Une société de spyware a exposé des « téraoctets » de données personnelles,
Y compris des selfies, des messages texte et des données de localisation
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !