Photocreo Bednarek - Fotolia
Exactis ? Une base de données parmi tant d’autres qui fuient
L’entreprise américaine de marketing a exposé les données d’environ 230 millions de personnes et 110 millions d’autres entreprises. Mais il semble que ne soit encore qu’une goutte d’eau dans un vaste océan.
Exactis est une entreprise spécialisée dans le marketing, installée en Floride, aux Etats-Unis. Elle a malencontreusement exposé les données de 230 millions d’individus et 110 millions d’entreprises, la faute à un serveur laissé accessible à tous sur Internet. Le chercheur Vinny Troia, à l’origine de la découverte, travaille actuellement avec Exactis pour établir si des tiers ont profité de cette exposition pour effectivement accéder à ces données. Et si c’était le cas, cela n’aurait rien d’anodin.
Les chiffres sont en eux-mêmes impressionnants. Mais chaque enregistrement de ces 2 To de données contient plus de 400 variables de caractéristiques personnelles, selon Bruce Silcoff, Pdg de Chyft Network International.
Trouver ces données n’était, en soi, pas bien difficile. Vinny Troia s’est ainsi contenté de recourir au moteur de recherche spécialisé Shodan pour identifier des bases de données ElasticSearch publiquement accessibles en ligne. Et elles sont nombreuses.
John Matherly, fondateur de Shodan, souligne ainsi sur Twitter que les bases de données ElasticSearch accessibles publiquement sur Internet exposent rien moins que 904.8 To de données. Et il y a pire : 5,1 Po sur des clusters Hadoop… Pour john Matherly, à côté de tout cela, le volume de données stockées dans des instances MongoDB mal configurées n’est finalement qu’une paille de 24 To.
Public @MongoDB instances are exposing 24 TB of data. Still a lot but significantly less than the 904.8 TB from @Elastic and the whopping 5.1 PB on HDFS
— John Matherly (@achillean) June 29, 2018
Le patron de Shodan souligne qu’il fallait compter avec moins de 600 To de données stockées sur ElasticSearch exposées en ligne il y a un an. La conclusion apparaît donc tout aussi évidente que malheureuse : les messages d’alerte n’ont pas été entendus.
Début 2017, des bases de données MongoDB mal sécurisées commençaient à être prises en otage. Elles seraient plus de 15 000 dans le monde à ce jour dans ce cas – dont 850 en France. Peu après, les tentatives d’extorsion se tournaient vers les bases ElasticSearch… Mais les premières alertes concernant les instances MongoDB mal configurées remontent à 2015 !
Récemment, Appthority, spécialiste de la sécurité des applications mobiles, a alerté sur le fait que 3 000 applications iOS et Android ont pu laisser fuiter – ou le font actuellement – des données d’utilisateurs : plus de 100 millions d’enregistrements de données, dont 2,6 millions contenant des identifiants et mots de passe en clair, ou encore au moins 4 millions d’enregistrements de données de santé. Le tout en raison de l’utilisation de bases de données Firebase sans authentification.
C’est dans ce contexte d’insécurité généralisée que le ministère de l’Intérieur américain a demandé à Twitter des informations détaillées sur le chercheur connu sous le pseudonyme de Flash Gordon.
Just recieved a subpoena email from twitter today regarding my twitter account. Would be easier if they just talked to me in regards to what its about. You are obviously reading my tweets.
— Flash Gordon (@s7nsins) June 14, 2018
Celui-ci s’est fait une spécialité de la chasse aux entrepôts de données publiquement accessibles en ligne. Fin mars, c’était une « entreprise de santé » qui exposait des données liées à plus de 300 000 échanges téléphoniques, ou encore un centre d’entrainement utilisé par des forces de l’ordre américaines, « avec environ 90 000 utilisateurs », ainsi qu’une base de données d’une université « avec 28 000 utilisateurs ».