Une base de données hébergée chez Amazon indexée sur différents moteurs de recherche

17 mars 2020 à 08h40
0
amazon_prime1600

Les données personnelles de huit millions de transactions, majoritairement issues du Royaume-Uni, ont été mises en ligne au cours du mois de février.

Une fois plus, Bob Diachenko a fait des révélations fracassantes. Le spécialiste ukrainien de la cybersécurité de Comparitech a révélé, il y a quelques jours, avoir fait la découverte d'une base de données géante contenant les informations personnelles tirées de huit millions de transactions, effectuées par des Européens, hébergées de façon non sécurisée sur les serveurs d'Amazon Web Services (AWS), la branche Cloud du e-commerçant américain.


Des données indexées et accessibles durant près d'une semaine

Les dossiers découverts au sein de la base de données nommée MongoDB comportaient les noms, adresses de livraison, adresses électroniques, numéros de téléphone, modes de paiement, références des produits achetés, ainsi que les identifiants de commande, les quatre derniers chiffres de la carte bancaire utilisée lors de la transaction et le lien vers la facture. Les détails complets des cartes de crédit et les mots de passe n'auraient pas été compromis, selon Amazon.

L'accès à la base de données, découverte le 3 février 2020, soit le lendemain de son indexation, n'était donc pas sécurisé. Celle-ci est même restée indexée sur plusieurs moteurs de recherche durant cinq jours. Elle concerne les données sans chiffrement ni protégées par un mot de passe de huit millions de transactions menées par les clients (dont on ignore le nombre exact) de plateformes bien connues comme Amazon, eBay, PayPal, Shopify ou Stripe, pour ne citer qu'eux. La moitié proviendrait du Royaume-Uni, l'autre du reste de l'Europe.

Des millions de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS ainsi qu'un ID de clé d'accès AWS étaient aussi hébergés sur la base de données.


Une appli utilisée par des vendeurs web identifiée

Dès que Bob Diachenko et son équipe se sont aperçus de l'exposition publique de la base de données, ils ont sans attendre contacté l'hébergeur, Amazon Web Services, qui n'avait pas réussi à identifier l'entreprise responsable plusieurs jours après. « Amazon a été assez rapide pour me répondre, dans les 24 heures. Ils ont pu démarrer leur propre enquête dans la foulée », confie Diachenko.

On sait en revanche que les informations collectées proviennent d'une application mise au point par des développeurs tiers, utilisée par une entreprise dont l'identité, qui n'a pas été révélée, fut connue le 8 février 2020, soit moins d'une semaine après la mise en ligne de la base de données. Cette entreprise permettait à des vendeurs web de gérer leurs informations de vente, et ce dans plusieurs pays, données utiles pour le calcul de la TVA.

Bob Diachenko alerte tout de même les clients britanniques de PayPal, qui pourraient être sollicités dans les prochaines semaines par des hackers qui pourraient tenter de les piéger, à partir des données qu'ils détiennent, via des messages frauduleux.

Source : Comparitech
Modifié le 17/03/2020 à 15h59
1
2
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Coronavirus : Bill Gates va faire construire des usines pour fabriquer les 7 vaccins les plus prometteurs
Une association pointe du doigt Amazon, qui livre toujours des produits hors hygiène et alimentaire
Comment fonctionne la nouvelle attestation de déplacement sur smartphone ?
Coronavirus : comment l'Iran et l'Espagne gèrent la crise d'un point de vue technologique
Blue Origin pousse ses employés à développer une fusée touristique malgré le coronavirus
Disney+ : pas de 4K ni d'Ultra-HD au lancement pour le concurrent de Netflix
Quatre ans après leur sortie, les Samsung Galaxy S7 ne seront plus mis à jour
Et de trois ! Un nouveau prototype de Starship détruit lors d'un test de réservoir
COVID-19 : Lamborghini aussi se met à produire du matériel médical
Audi : pas de version 100 % électrique pour la berline premium A8
scroll top