Une base de données hébergée chez Amazon indexée sur différents moteurs de recherche

17 mars 2020 à 08h40
0
amazon_prime1600

Les données personnelles de huit millions de transactions, majoritairement issues du Royaume-Uni, ont été mises en ligne au cours du mois de février.

Une fois plus, Bob Diachenko a fait des révélations fracassantes. Le spécialiste ukrainien de la cybersécurité de Comparitech a révélé, il y a quelques jours, avoir fait la découverte d'une base de données géante contenant les informations personnelles tirées de huit millions de transactions, effectuées par des Européens, hébergées de façon non sécurisée sur les serveurs d'Amazon Web Services (AWS), la branche Cloud du e-commerçant américain.


Des données indexées et accessibles durant près d'une semaine

Les dossiers découverts au sein de la base de données nommée MongoDB comportaient les noms, adresses de livraison, adresses électroniques, numéros de téléphone, modes de paiement, références des produits achetés, ainsi que les identifiants de commande, les quatre derniers chiffres de la carte bancaire utilisée lors de la transaction et le lien vers la facture. Les détails complets des cartes de crédit et les mots de passe n'auraient pas été compromis, selon Amazon.

L'accès à la base de données, découverte le 3 février 2020, soit le lendemain de son indexation, n'était donc pas sécurisé. Celle-ci est même restée indexée sur plusieurs moteurs de recherche durant cinq jours. Elle concerne les données sans chiffrement ni protégées par un mot de passe de huit millions de transactions menées par les clients (dont on ignore le nombre exact) de plateformes bien connues comme Amazon, eBay, PayPal, Shopify ou Stripe, pour ne citer qu'eux. La moitié proviendrait du Royaume-Uni, l'autre du reste de l'Europe.

Des millions de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS ainsi qu'un ID de clé d'accès AWS étaient aussi hébergés sur la base de données.


Une appli utilisée par des vendeurs web identifiée

Dès que Bob Diachenko et son équipe se sont aperçus de l'exposition publique de la base de données, ils ont sans attendre contacté l'hébergeur, Amazon Web Services, qui n'avait pas réussi à identifier l'entreprise responsable plusieurs jours après. « Amazon a été assez rapide pour me répondre, dans les 24 heures. Ils ont pu démarrer leur propre enquête dans la foulée », confie Diachenko.

On sait en revanche que les informations collectées proviennent d'une application mise au point par des développeurs tiers, utilisée par une entreprise dont l'identité, qui n'a pas été révélée, fut connue le 8 février 2020, soit moins d'une semaine après la mise en ligne de la base de données. Cette entreprise permettait à des vendeurs web de gérer leurs informations de vente, et ce dans plusieurs pays, données utiles pour le calcul de la TVA.

Bob Diachenko alerte tout de même les clients britanniques de PayPal, qui pourraient être sollicités dans les prochaines semaines par des hackers qui pourraient tenter de les piéger, à partir des données qu'ils détiennent, via des messages frauduleux.

Source : Comparitech
Modifié le 17/03/2020 à 15h59
1
2
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
Une usine de production de cellule de batteries pour véhicules électriques bientôt en France ?
Découvrez la 2CV R-Fit 100% électrique, conçue en rétrofit
TikTok et maintenant WeChat : les USA veulent
Horizon Zero Dawn : le portage PC critiqué pour ses nombreux bugs
Xiaomi Mi 10 Ultra : une édition anniversaire qui veut
Des experts en sécurité inquiets à l'approche de la présentation du premier prototype Neuralink d'Elon Musk
Elon Musk envisage la construction d'un Cybertruck plus petit pour l'Europe
Clean Network, le projet des États-Unis pour préparer leur avenir technologique sans les Chinois
Delage dévoile un hypercar hybride à 2,3 millions de dollars
scroll top