Une base de données sans protection, contenant pas moins de 40 milliards d'enregistrements bancaires, personnels et professionnels, a été exposée en ligne. La brèche majuscule touche Netcore Cloud, une plateforme d'e-mail marketing indienne.

Une base de données bancaires et professionnelles est restée totalement ouverte pendant des jours © babar ali 1233 / Shutterstock
Une base de données bancaires et professionnelles est restée totalement ouverte pendant des jours © babar ali 1233 / Shutterstock

40 milliards. C'est le chiffre vertigineux d'enregistrements qu'un chercheur en cybersécurité vient de découvrir en libre accès sur internet. Jeremiah Fowler, spécialiste reconnu dans le domaine, est tombé sur une base de données totalement non sécurisée appartenant à Netcore Cloud, entreprise basée à Mumbai, en Inde, spécialisée dans l'automatisation marketing. À l'intérieur, on retrouve des notifications de transactions bancaires avec numéros de comptes partiels, des messages liés à l'emploi, des e-mails de vérification et toute la machinerie des campagnes marketing modernes. Il y en a pour 13,4 téraoctets de données.

Zéro protection pour des milliards de données critiques

L'exposition n'aurait pas pu être plus totale. Aucun mot de passe ne barrait l'accès, aucun chiffrement ne protégeait les informations. N'importe qui avec les connaissances techniques basiques pouvait consulter ces très exactement 40 089 928 683 enregistrements stockés dans la base. En fouillant dans les fichiers, Jeremiah Fowler y a trouvé des adresses électroniques en pagaille, des objets de messages, mais aussi des informations techniques sensibles, comme des adresses IP et des détails SMTP qui auraient dû rester confidentiels.

Ce qui rend le tout préoccupant, c'est l'envergure de Netcore Cloud. Cette plateforme d'engagement client propulsée par intelligence artificielle sert 6 500 marques réparties dans 40 pays du globe, notamment en Inde, aux États-Unis, au Royaume-Uni, à Singapour, aux Émirats, aux Philippines, en Malaisie, au Vietnam et au Nigeria. Ses clients couvrent tous les secteurs, de la banque à l'e-commerce, en passant par les services financiers, médias, divertissement et le voyage.

Jeremiah Fowler a réagi avec la responsabilité qui caractérise les chercheurs éthiques. Dès sa découverte, il a notifié Netcore qui a verrouillé l'accès le jour même. L'entreprise a répondu en le remerciant et en demandant davantage d'informations sur la faille. Mais on peut se poser cette question : combien de temps cette porte est restée grande ouverte avant d'être détectée ? Impossible de le savoir sans audit forensique approfondi.

On aperçoit ici l'extrait de journaux bancaires avec les dépenses et crédits, qui étaient en accès libre © Jeremiah Fowler
On aperçoit ici l'extrait de journaux bancaires avec les dépenses et crédits, qui étaient en accès libre © Jeremiah Fowler

La crainte d'un phishing ciblé et d'une usurpation d'identité à grande échelle

Les risques liés à une telle exposition dépassent largement le simple spam. Les cybercriminels disposent désormais d'un trésor d'informations qui leur permet de cartographier les relations commerciales, bancaires et professionnelles de millions de personnes. Avec ces données, ils peuvent orchestrer des campagnes de phishing XXL, en utilisant de véritables détails financiers pour convaincre leurs cibles de la légitimité de leurs messages frauduleux.

Le scénario du clone-phishing peut inquiéter. En récupérant les métadonnées réelles, les lignes d'objet authentiques et les adresses d'expéditeurs officielles, des escrocs peuvent fabriquer des copies parfaites d'e-mails légitimes. Imaginez recevoir une notification bancaire qui reprend vos vraies opérations récentes mais vous redirige vers un site pirate. Les adresses e-mail elles-mêmes constituent une mine d'or, car beaucoup contiennent des noms complets et peuvent être croisées avec d'autres fuites de données pour récupérer des identifiants et mots de passe.

Un autre élément aggrave la situation : l'infrastructure exposée. Celle-ci présentait 89 ports réseau ouverts ce qui, on vous laisse l'imaginer, crée une surface d'attaque considérable pour d'éventuelles intrusions. Les fichiers consultés par Fowler mentionnaient des services internes marqués « production », avec des références à des bases de données et serveurs backend.

Cette cartographie détaillée de l'architecture système pourrait faciliter des attaques plus sophistiquées, voire des tentatives de ransomware. Précision importante, les 40 milliards d'enregistrements ne représentent pas autant d'individus uniques, puisque les mailings répétés gonflent artificiellement ce chiffre. Mais cela reste une exposition massive touchant potentiellement des millions de personnes.

Source : Website Planet (Jeremiah Fowler)