Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée,
Y compris les détails des utilisateurs

Le , par Stan Adkens

202PARTAGES

13  0 
Une autre brèche de serveur non sécurisé en ligne a été découverte exposant une importante quantité d’enregistrements client à la merci de toutes personnes malveillantes qui auraient découvert la vulnérabilité. Un groupe de casinos en ligne a divulgué des informations sur plus de 108 millions de paris, y compris des détails sur les informations personnelles des clients. Les données ont été exposées via une base de données Elasticsearch mal configurée – sans mot de passe –, et la vulnérabilité a été découverte par Justin Paine, un chercheur en sécurité. Les données personnelles sensibles sur des clients divulguées par le groupe de casinos et qui pourraient être exploitées par des pirates informatique comprenaient, entre autres, les vrais noms, adresses personnelles, numéros de téléphone les détails des cartes de paiement.

Les serveurs laissés sans protection en ligne sont courants. Greg Pollock et Chris Vickery, chercheurs en cybersécurité chez UpGuard, ont découvert qu’un serveur du département des valeurs mobilières de l'Oklahoma (ODS - Oklahoma Department of Securities) avait été exposé au public, contenant non seulement des téraoctets de données gouvernementales confidentielles, mais également des informations relatives aux enquêtes du FBI. La base de données a été trouvée via le moteur de recherche Shodan, qui montrait que le système était accessible au public le 30 novembre 2018.

Les données exposées comprenaient, entre autre, des informations sur plus de cent mille courtiers, y compris leurs numéros de sécurité sociale, la date de naissance, l’Etat de naissance, le pays de naissance, le sexe, la taille, le poids, la couleur des cheveux et la couleur des yeux et bien d’autres informations personnelles. L'équipe d'UpGuard a informé le département et l’accès public a été supprimé le 8 décembre.

En septembre dernier, Bob Diachenko, chercheur indépendant en cybersécurité, avait découvert une autre vulnérabilité de serveur en ligne – une instance de MongoDB configurée sur l'infrastructure d'hébergement de Grupo-SMS USA, LLC, qui exposait une énorme quantité de données utilisateur et qui pouvaient être consultées par n’importe qui à tout moment. La base de données clients contenant 11 millions d’enregistrements contenant des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence). Pour ne citer que ces précédents cas.

Au total, 43,5 Go de données contenant 10 999 535 adresses e-mail basées sur yahoo ont été exposées. Outre les informations personnelles des clients, la base de données comprenait également des détails sur le statut du courrier électronique (envoyé avec succès ou non), indiquant si le courrier électronique avait été transmis et la réponse du serveur. Par le passé, en une semaine, près de 30 000 bases MongoDB ont été ainsi prises en otage sur 100 000 qui ont été répertoriées par des chercheurs comme étant vulnérables.

Négligence ou manque de prise de conscience des nouveaux enjeux de la cybersécurité de la part des organisations, les serveurs en ligne continuent d’être laissés sans authentification exposant les données sensibles de leurs clients.


Un serveur ElasticSearch est un moteur de recherche portable de haute qualité que les entreprises installent pour améliorer l'indexation des données et les capacités de recherche de leurs applications Web. Il est généralement utilisé sur des réseaux internes et n'est pas destiné à être exposé en ligne, car il traite généralement les informations les plus sensibles d'une entreprise.

C’est la semaine dernière que le chercheur en sécurité Paine a découvert une instance ElasticSearch non sécurisée contenant des données provenant d'un portail de pari en ligne. Paine s’est rendu compte que l'instance ElasticSearch a traité une énorme quantité d'informations qui avaient été agrégées à partir de plusieurs domaines web, très probablement d'une sorte de schéma d'affiliation, ou d'une plus grande société exploitant plusieurs portails de pari. Les domaines repérés par le chercheur en sécurité, après investigations, comprenaient, entre autre, kahunacasino.com, azur-casino.com, easybet.com, et viproomcasino.net qui appartenait probablement à une même entité.

Une analyse des URL repérées dans les données du serveur a permis au chercheur en sécurité de conclure que tous les domaines exploitaient des casinos en ligne où les utilisateurs pouvaient parier sur des cartes classiques et des jeux de machines à sous, mais aussi sur d'autres jeux de paris non standard. Une analyse des données divulguées a permis à Paine de se rendre compte que le serveur ElasticSearch exposait une importante quantité d'informations sensibles, telles que les vrais noms, adresses personnelles, numéros de téléphone, adresses e-mail, dates de naissance, noms d'utilisateur du site Web, soldes de comptes, adresses IP, détails de navigateur et d'OS, dernières informations de connexion, et une liste des jeux joués.

L’instance ElasticSearch divulguait également des informations relatives aux paris des clients du groupe de casinos. Paine a découvert environ 108 millions d'enregistrements contenant des informations sur les paris en cours, les gains, les dépôts et les retraits. Les données sur les dépôts et les retraits comprenaient également les détails des cartes de paiement des clients, même si les détails des cartes de paiement indexés dans le serveur ElasticSearch avaient été partiellement supprimés empêchant l’exposition des détails financiers complets des clients.

Toutefois, les données telles que le nom, l'adresse personnelle ainsi que le numéro de téléphone des joueurs qui ont récemment gagné de grosses sommes d'argent seraient largement suffisantes entre les mains d’un acteur malveillant pour cibler les utilisateurs dans le cadre d'escroqueries ou d'extorsions par hameçonnage, par exemple.

Jusqu’à hier, il n’y avait pas encore d’informations concernant le nombre exact de clients du groupe de casinos affectés par la divulgation, ni le durée pendant laquelle le serveur est resté accessible. On ne sait pas non plus si quelqu’un d’autre que le chercheur en sécurité a eu accès au serveur ni si les clients seront informés que leurs données personnelles ont été exposées sur Internet à la portée de quiconque les découvrait.

Source : Justin Paine, chercheur en sécurité

Et vous ?

Que pensez-vous de cette découverte ?
Selon vous, pour quelles raisons un groupe de casinos ou toutes autres organisations laisseraient un serveur en ligne sans mot de passe ?

Lire aussi

Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles
11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité
Des informations classées « Top Secret » de l'armée américaine et de la NSA ont été exposées en ligne, sur des serveurs Amazon
Microsoft veut qu'Azure devienne la solution serveur multijoueur pour toutes les plateformes, grâce à PlayFab Multiplayer Servers
Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP, et ce, depuis 2010

Une erreur dans cette actualité ? Signalez-le nous !