Home / A la une / Une base de données non sécurisée a révélé des milliers de passeports britanniques

Une base de données non sécurisée a révélé des milliers de passeports britanniques

Des détails sensibles, y compris les passeports de milliers de Britanniques, ont été laissés paresseusement non sécurisés dans le cloud d'Amazon pendant des années – mais il est difficile de savoir qui est à blâmer.

Noam Rotem et Ran Locar sont des chercheurs en sécurité qui travaillent actuellement pour le compte de vpnMentor. En septembre dernier, ils ont fait les gros titres après avoir repéré les détails personnels de la plupart de l'Équateur sur un serveur cloud non sécurisé; quelques mois plus tard, ils ont repéré des millions de messages privés divulgué de la même manière par une société de communication américaine. Maintenant, c'est au tour du Royaume-Uni.

Cette fois-ci, Rotem et Locar découvert un non garanti Base de données Amazon Web Services (AWS) S3, un soi-disant «compartiment». Sans protection de sécurité, la paire a pu voir tous les fichiers qu'elle détenait, qui comprenaient des milliers de numérisations de passeports, de documents fiscaux, de demandes d'emploi, de preuves d'adresse, de vérifications des antécédents, de formulaires de dépenses, de contrats numérisés avec signatures, d'informations sur les salaires , courriels et plus encore.

Les fichiers contenaient un large éventail d'informations personnellement identifiables, y compris les noms, adresses, numéros de téléphone, dates de naissance, sexe, numéro d'assurance nationale – tout ce dont un criminel aurait besoin pour effectuer un vol d'identité ou une fraude, ou pour des attaques bien ciblées. "C'est tout ce dont vous avez besoin pour voler l'identité d'une personne, pour ouvrir un compte bancaire en son nom, ou bien d'autres choses malveillantes", explique Rotem.

Il y a une raison pour laquelle ils continuent de trouver ces données: ils les recherchent. À l'heure actuelle, les deux travaillent sur un projet de cartographie Web qui recherche les fuites de données. "Le projet de cartographie Web est en quelque sorte un passe-temps que je fais avec un ami pendant mon temps libre", explique Rotem. "Nous analysons de grandes parties d'Internet et essayons de trouver des données qui traînent dans des bases de données ouvertes qui ne nécessitent aucun piratage pour être disponibles." Ils ont trouvé des données d'entreprises du Fortune 500 et du Pentagone – et maintenant des milliers de Britanniques postulent depuis quelques années, semble-t-il.

Les données relatives au Royaume-Uni qu'ils ont trouvées remontent à 2011, mais la plupart datent de 2014 et 2015 et concernaient une gamme de sociétés de conseil liées aux RH, dont la majorité ont déjà cessé leurs activités. Cependant, la nature des données signifie qu'elles pourraient toujours être précieuses pour les pirates. Il a maintenant été sécurisé ou mis hors ligne par Amazon, après que vpnMentor ait contacté la société.

Il n'y a aucune preuve que les données ont été découvertes avant Rotem et Locar, mais il y a peu de moyen de savoir. De plus, il n'est pas clair quelle entreprise était responsable de l'échec de la sécurisation des données – Amazon ne le révélerait pas – ce qui signifie qu'il n'y a personne à signaler au bureau du commissaire à l'information.

Il n'est pas clair de la recherche de Rotem et Locar, ni des informations fournies par vpnMentor, qui a divulgué les données RH britanniques. Il se peut que la société en question ait fermé ses portes, car plusieurs des entreprises mentionnées dans la base de données ont été fermées selon Companies House. Il était étiqueté «CHS» et a depuis été sécurisé ou retiré. "Je ne sais pas s'ils ont contacté l'entreprise et s'ils l'ont fait, ou si Amazon l'a fait", a déclaré Rotem. La violation de données a également été signalée au National Cyber ​​Security Center (NCSC), bien qu'il ait fallu un mois à l'agence pour répondre – car, apparemment, l'e-mail de vpnMentor a atterri dans le dossier de courrier indésirable du NCSC.

Rien de tout cela n'est la faute d'Amazon, souligne Rotem. AWS propose des moyens simples de sécuriser les compartiments S3, notamment en les définissant simplement sur privés et en ajoutant des protocoles d'authentification pour l'accès. AWS S3 est sécurisé par défaut, donc la mise à disposition publique des données prend des mesures par le propriétaire du compte; AWS indique également clairement dans le tableau de bord si les données sont ouvertes sur le monde. Le propriétaire encore inconnu de ce seau bâclé particulier n'a pas pris de précautions de base. "Amazon fait beaucoup pour empêcher cela", dit-il. "Mais à la fin de la journée, le client peut décider de garder ses systèmes ouverts. Et dans ce cas, le client a tout laissé traîner – vous n'aviez besoin que d'un navigateur Web, un navigateur Web ordinaire, pour obtenir toutes ces informations."

Que tant de données sensibles puissent rester pendant des années peut sembler surprenant, mais Rotem dit que c'est un événement quotidien. "C'est très courant, beaucoup plus courant que vous ne le pensez", dit-il. En effet, il y a plus de cas que Rotem ne rend public; lui et son partenaire contactent les entreprises chaque semaine après avoir trouvé de telles données non protégées, disant qu'il choisit souvent de ne pas publier si les coupables essaient vraiment de résoudre le problème.

Amazon n'a pas commenté cette histoire, mais Rotem affirme qu'AWS a pris des mesures préventives. "Ils avertissent les clients que les compartiments où ils stockent des informations sont ouverts et qu'ils doivent les examiner, c'est un problème de sécurité. Les gens choisissent de l'ignorer – bizarre, mais cela arrive", dit-il, suggérant que les autorités doivent infliger plus d'amendes à stimuler l'action. "C'est probablement une combinaison d'ignorance et de manque de responsabilité – ils s'en moquent tout simplement." Si vous ne voulez pas que votre entreprise soit la prochaine sortie par Rotem et Locar, verrouillez vos seaux.

Plus de belles histoires de WIRED

🚙 Le plus voitures électriques passionnantes à venir en 2020

🍄 Ces astuces mentales peuvent vous aider à devenir végétalien en janvier

🚐 Les VUS sont pire pour la planète que quiconque

⏲️ La science dit que nous devrions travailler des heures plus courtes en hiver

📧 Comment utiliser la psychologie pour amener les gens à répondez à vos e-mails

Source

About admin

Check Also

Nous parlons à ceux qui maîtrisent la technologie multiplateforme derrière Slack, Visual Code Studio, etc. • Technologik

Une analyse Vendredi, environ 150 développeurs se sont réunis au siège de Slack pour en …

Laisser un commentaire