Une base de données hébergée chez Amazon indexée sur différents moteurs de recherche

17 mars 2020 à 15h59
1
amazon_prime1600

Les données personnelles de huit millions de transactions, majoritairement issues du Royaume-Uni, ont été mises en ligne au cours du mois de février.

Une fois plus, Bob Diachenko a fait des révélations fracassantes. Le spécialiste ukrainien de la cybersécurité de Comparitech a révélé, il y a quelques jours, avoir fait la découverte d'une base de données géante contenant les informations personnelles tirées de huit millions de transactions, effectuées par des Européens, hébergées de façon non sécurisée sur les serveurs d'Amazon Web Services (AWS), la branche Cloud du e-commerçant américain.


Des données indexées et accessibles durant près d'une semaine

Les dossiers découverts au sein de la base de données nommée MongoDB comportaient les noms, adresses de livraison, adresses électroniques, numéros de téléphone, modes de paiement, références des produits achetés, ainsi que les identifiants de commande, les quatre derniers chiffres de la carte bancaire utilisée lors de la transaction et le lien vers la facture. Les détails complets des cartes de crédit et les mots de passe n'auraient pas été compromis, selon Amazon.

L'accès à la base de données, découverte le 3 février 2020, soit le lendemain de son indexation, n'était donc pas sécurisé. Celle-ci est même restée indexée sur plusieurs moteurs de recherche durant cinq jours. Elle concerne les données sans chiffrement ni protégées par un mot de passe de huit millions de transactions menées par les clients (dont on ignore le nombre exact) de plateformes bien connues comme Amazon, eBay, PayPal, Shopify ou Stripe, pour ne citer qu'eux. La moitié proviendrait du Royaume-Uni, l'autre du reste de l'Europe.

Des millions de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS ainsi qu'un ID de clé d'accès AWS étaient aussi hébergés sur la base de données.


Une appli utilisée par des vendeurs web identifiée

Dès que Bob Diachenko et son équipe se sont aperçus de l'exposition publique de la base de données, ils ont sans attendre contacté l'hébergeur, Amazon Web Services, qui n'avait pas réussi à identifier l'entreprise responsable plusieurs jours après. « Amazon a été assez rapide pour me répondre, dans les 24 heures. Ils ont pu démarrer leur propre enquête dans la foulée », confie Diachenko.

On sait en revanche que les informations collectées proviennent d'une application mise au point par des développeurs tiers, utilisée par une entreprise dont l'identité, qui n'a pas été révélée, fut connue le 8 février 2020, soit moins d'une semaine après la mise en ligne de la base de données. Cette entreprise permettait à des vendeurs web de gérer leurs informations de vente, et ce dans plusieurs pays, données utiles pour le calcul de la TVA.

Bob Diachenko alerte tout de même les clients britanniques de PayPal, qui pourraient être sollicités dans les prochaines semaines par des hackers qui pourraient tenter de les piéger, à partir des données qu'ils détiennent, via des messages frauduleux.

Source : Comparitech
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
tfpsly
Une base de données d’Amazon<br /> Non, pas d’Amazon, elle n’appartient pas à Amazon, elle est seulement stockée sur leur cloud. C’est une db d’une entreprise vendant des produits sur différents sites, utilisée pour calculer leurs taxes. Ce qui explique le mélange d’infos de ventes à travers différents sites.<br /> Le défaut de sécurisation vient de cette entreprise, pas d’Amazon ou Ebay ou autre.<br /> A software vendor used by small retailers in the EU exposed a database of nearly 8 million sales records on the web without a password or any other authentication required to access it. The documents contained sales records including customer names, email addresses, shipping addresses, purchases, and the last four digits of credit card numbers, among other info. Anyone could find and access the data.<br /> The vendor’s app pulled sales records from marketplace and payment system APIs like that of Amazon UK, Ebay, Shopify, PayPal, and Stripe to aggregate retailers’ sales data and calculate value-added taxes for different EU countries.<br /> Les 4 derniers chiffres d’un numéro de cb n’identifie que le type de carte (Visa, Mastercard, AmEx etc.). Les noms et coordonnées sont plus problématiques.
mrassol
C’est les 4 premiers qui déterminent le type de carte
tfpsly
Exact, les 1 à 4 premiers chiffres, oups
AlexLex14
tfpsly:<br /> Non, pas d’Amazon, elle n’appartient pas à Amazon, elle est seulement stockée sur leur cloud.<br /> C’est exactement pareil. Si AWS venait à s’écrouler pour une raison ou pour une autre, la base de données disparaîtrait. Elle est certes payée par cette société X mais reste hébergée chez AWS. Ce sont les dangers du cloud…
mrassol
Tu te trompe … la base de donnée d’une societe tierse hebergée sur le cloud amazon n’est pas une base de données d’amazon …<br /> le titre de l’article est trompeur
AlexLex14
Tu as effectivement raison pour le titre (que je n’ai pas choisi, à ma décharge ^^), je l’ai donc modifié <br /> On est d’accord que si la base de données est hébergée chez AWS, celle-ci reste à la merci de AWS…
mrassol
La dessus, je ne te contredit pas, c’était sur la propriété de la base que je tiquait
Voir tous les messages sur le forum

Actualités du moment

Des rendus officiels du Motorola Edge+ donnent à voir un smartphone élégant et un APN 108 MP
Le Google Pixel 4a profitera d'un stockage rapide UFS 2.1
L'iPhone 9 Plus confirmé dans le code d'iOS 14
Bethesda explique l'absence du mode match à mort par équipe dans DOOM Eternal
Discord croule sous le poids des joueurs et voit ses serveurs tomber
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page