Une base de données hébergée chez Amazon indexée sur différents moteurs de recherche

17 mars 2020 à 08h40
1
amazon_prime1600

Les données personnelles de huit millions de transactions, majoritairement issues du Royaume-Uni, ont été mises en ligne au cours du mois de février.

Une fois plus, Bob Diachenko a fait des révélations fracassantes. Le spécialiste ukrainien de la cybersécurité de Comparitech a révélé, il y a quelques jours, avoir fait la découverte d'une base de données géante contenant les informations personnelles tirées de huit millions de transactions, effectuées par des Européens, hébergées de façon non sécurisée sur les serveurs d'Amazon Web Services (AWS), la branche Cloud du e-commerçant américain.


Des données indexées et accessibles durant près d'une semaine

Les dossiers découverts au sein de la base de données nommée MongoDB comportaient les noms, adresses de livraison, adresses électroniques, numéros de téléphone, modes de paiement, références des produits achetés, ainsi que les identifiants de commande, les quatre derniers chiffres de la carte bancaire utilisée lors de la transaction et le lien vers la facture. Les détails complets des cartes de crédit et les mots de passe n'auraient pas été compromis, selon Amazon.

L'accès à la base de données, découverte le 3 février 2020, soit le lendemain de son indexation, n'était donc pas sécurisé. Celle-ci est même restée indexée sur plusieurs moteurs de recherche durant cinq jours. Elle concerne les données sans chiffrement ni protégées par un mot de passe de huit millions de transactions menées par les clients (dont on ignore le nombre exact) de plateformes bien connues comme Amazon, eBay, PayPal, Shopify ou Stripe, pour ne citer qu'eux. La moitié proviendrait du Royaume-Uni, l'autre du reste de l'Europe.

Des millions de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS ainsi qu'un ID de clé d'accès AWS étaient aussi hébergés sur la base de données.


Une appli utilisée par des vendeurs web identifiée

Dès que Bob Diachenko et son équipe se sont aperçus de l'exposition publique de la base de données, ils ont sans attendre contacté l'hébergeur, Amazon Web Services, qui n'avait pas réussi à identifier l'entreprise responsable plusieurs jours après. « Amazon a été assez rapide pour me répondre, dans les 24 heures. Ils ont pu démarrer leur propre enquête dans la foulée », confie Diachenko.

On sait en revanche que les informations collectées proviennent d'une application mise au point par des développeurs tiers, utilisée par une entreprise dont l'identité, qui n'a pas été révélée, fut connue le 8 février 2020, soit moins d'une semaine après la mise en ligne de la base de données. Cette entreprise permettait à des vendeurs web de gérer leurs informations de vente, et ce dans plusieurs pays, données utiles pour le calcul de la TVA.

Bob Diachenko alerte tout de même les clients britanniques de PayPal, qui pourraient être sollicités dans les prochaines semaines par des hackers qui pourraient tenter de les piéger, à partir des données qu'ils détiennent, via des messages frauduleux.

Source : Comparitech
Modifié le 17/03/2020 à 15h59
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Voir tous les messages sur le forum

Actualités du moment

Des rendus officiels du Motorola Edge+ donnent à voir un smartphone élégant et un APN 108 MP
L'iPhone 9 Plus confirmé dans le code d'iOS 14
Le Google Pixel 4a profitera d'un stockage rapide UFS 2.1
Microsoft et Bing lancent une carte interactive permettant de suivre la propagation du Covid-19
Bethesda explique l'absence du mode match à mort par équipe dans DOOM Eternal
Huawei P40 Pro : les visuels en fuite avant la présentation du 26 mars
Adobe présente de solides résultats pour le premier trimestre
Les nouveaux Powerbeats officiellement annoncés à 149,95€
Les processeurs de 10ème génération d'Intel plus efficaces en mode économie d’énergie ?
Microsoft Surface Keyboard : un clavier sans fil de référence en promo chez Amazon
Haut de page