Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque

De télécharger des données gouvernementales confidentielles

Les chercheurs ont révélé l'existence d'un serveur exposé au public contenant non seulement des téraoctets de données gouvernementales confidentielles, mais également des informations relatives aux enquêtes du FBI.

Selon Greg Pollock et Chris Vickery, chercheurs en cybersécurité chez UpGuard, le serveur de stockage ouvert appartenait au département des valeurs mobilières de l'Oklahoma (ODS - Oklahoma Department of Securities). Le département supervise le secteur des valeurs mobilières en Oklahoma. Le département réglemente les agents en valeurs mobilières, les courtiers en valeurs mobilières et les conseillers en investissement, ainsi que l'enregistrement des actions, des obligations et de nombreux autres types de titres.

La découverte

La base de données a été trouvée via le moteur de recherche Shodan, qui a déclaré que le système était accessible au public le 30 novembre 2018. L'équipe d'UpGuard est tombée sur la base de données le 7 décembre et a informé le département un jour plus tard L’accès public a été supprimé le même jour, c’est à dire le 8 décembre, empêchant tout téléchargement ultérieur par les moyens utilisés par les analystes d'UpGuard.

La Oklahoma Securities Commission fait partie du département des valeurs mobilières de l’État. À l'instar de la Securities and Exchange Commission fédérale, ils veillent à ce que les personnes physiques et morales négociant des valeurs mobilières soient agréés à cet effet et respectent les réglementations qui protègent les citoyens contre la fraude. Le site Web de la Commission des valeurs mobilières a un score UpGuard Cyber ​​Risk de 171 sur 950, indiquant un risque grave de violation. L’utilisation du serveur Web IIS 6.0, qui est arrivée en fin de vie en juillet 2015, fait partie des problèmes qui font baisser le score du site Web. Aucune mise à jour permettant de résoudre les vulnérabilités récemment découvertes n’a été publiée au cours des trois dernières années et demie, Securities.ok.gov dispose du pire score de risque de tous les sites du domaine ok.gov.

Les données exposées

Informations personnelles

Le serveur rsync contenait plusieurs arborescences de répertoires de comptabilité, d'administration et d'investigation, ainsi que quelques fichiers de lecteur de sauvegarde de machine virtuelle contenant des informations personnelles. Une grande partie de l'information exposée concernait des personnes impliquées dans l'échange de titres financiers, opérant parfois dans le cadre d'organisations plus grandes, et agissant parfois en tant qu'individus. Les documents variaient en nombre d'individus et en types d'informations les décrivant.

• Une base de données Microsoft Access contenait des informations sur environ dix mille courtiers, y compris leurs numéros de sécurité sociale.
• Un CSV avec le nom partiel «IdentifyingInformation.csv» contenant la date de naissance, l’état de naissance, le pays de naissance, le sexe, la taille, le poids, la couleur des cheveux et la couleur des yeux de plus de cent mille courtiers.
• Une base de données sur les médiateurs, un moyen financier permettant aux patients en phase terminale de vendre leurs prestations d’assurance vie, contenait des informations sur les personnes atteintes du sida, notamment leurs noms et leur nombre de lymphocytes T.

Identifiants système

Les informations d'identification de système exposées peuvent comporter le risque le plus élevé d'abus à grande échelle. Les informations d'identification peuvent non seulement être utilisées pour collecter les informations personnelles, mais elles peuvent également être utilisées pour modifier des fichiers, par exemple, dans le but de distribuer davantage de programmes malveillants, ou pour collecter des informations volontairement masquées dans son format de stockage. Les mots de passe doivent être stockés dans un format haché ou chiffré, mais l'accès aux systèmes sur lesquels les utilisateurs saisissent ces mots de passe pourrait permettre aux attaquants de les intercepter en clair. Bien que les informations d'identification de système exposées n'empiètent pas immédiatement sur la vie privée des individus de la même manière que les informations personnelles exposées, elles comportent un risque systémique pouvant entraîner des violations secondaires.

• Informations d'identification VNC pour l'accès à distance aux postes de travail OK du Département des valeurs mobilières.
• Une base de données BlueExpress de références pour les tiers soumettant des dépôts de titres.
• Feuille de calcul des services informatiques avec les noms d'utilisateur et les mots de passe des comptes Thawte, Symantec Protection Suite, Tivoli et autres.

Informations d'affaires

À l'instar des informations personnellement identifiables, les documents commerciaux peuvent révéler plus que ce qui était prévu à propos de l'intérieur d'une entreprise. Tout comme les informations personnelles peuvent augmenter le risque de fraude ou de tromperie d'individus, les informations commerciales peuvent fournir un aperçu que les assaillants pourraient utiliser pour tromper les employés en démontrant qu'ils sont au courant des connaissances que seules des personnes autorisées auraient. Le serveur rsync d’Oklahoma contenait une multitude d’informations commerciales.

• Documents de formation pour le personnel de la Commission des valeurs mobilières.
• Historique des courriels des commissaires.
• Dossiers de support pour les enquêtes du département des valeurs mobilières.
• Des feuilles de calcul documentant le calendrier des enquêtes menées par le FBI et les personnes interrogées.

Déclarations de l’ODS

Le département des valeurs mobilières (ODS) de l'Oklahoma a entamé un examen complet des circonstances entourant un incident impliquant l'exposition par inadvertance d'informations au cours de l'installation d'un pare-feu. Une vulnérabilité accidentelle de durée limitée sur un serveur contenant des données archivées a été découverte et immédiatement sécurisée. L'ODS a informé les forces de l'ordre et OMES de l'incident. Une équipe de criminalistique effectue actuellement une analyse pour déterminer le type et le nombre de fichiers de données qui ont pu être exposés et qui ont pu y accéder. L'ODS explore également des actions correctives et des notifications pour toute personne dont les informations pourraient avoir été exposées. L'ODS examine actuellement les procédures internes, les contrôles et les mesures de sécurité afin d'éviter que de tels incidents ne se produisent.

Le Département n’a pas l’intention de faire d’autres observations avant la conclusion de l’enquête et l’établissement des faits pertinents.

Sources : UpGuard, ODS

Voir aussi :

Windows Server 2019 : le client et le serveur OpenSSH sont désormais pris en charge, apportant ainsi plus d'outils dans l'administration des serveurs
Amazon a annoncé qu'il va construire ses propres puces pour piloter ses serveurs, Intel devrait-il s'inquiéter ?
Microsoft veut qu'Azure devienne la solution serveur multijoueur pour toutes les plateformes, grâce à PlayFab Multiplayer Servers
Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP et ce, depuis 2010
Un serveur mail personnel permettrait d'avoir le contrôle sur ses informations personnelles, un outil de sécurité en ligne, selon ses concepteurs