Fuite de données clients chez Aruba

Aruba Networks indique avoir subi une brèche ayant entraîné la perte de données de localisation de clients. L’équipementier, filiale de HPE, a annoncé, dans un document de réponses à questions fréquentes, qu’entre le 9 et le 27 octobre, un attaquant extérieur a pu accéder à la base de données utilisée, pour conserver les données de télémétrie et de localisation des clients de son service d’administration Aruba Central.

Les données dérobées recouvrent notamment des informations sur le service de suivi de contacts qu’Aruba propose à ses clients : « les données personnelles des clients contenues dans les référentiels de données exposés sont constituées de l’adresse MAC de l’appareil, de l’adresse IP, du type de système d’exploitation de l’appareil, du nom d’hôte et, pour les réseaux Wi-Fi où l’authentification est utilisée, du nom d’utilisateur », expliquent HPE et Aruba à leurs clients.

Et de préciser que « les référentiels de données contenaient également des enregistrements de la date, de l’heure et du point d’accès Wi-Fi physique où un appareil était connecté, ce qui pouvait permettre de déterminer le voisinage général de l’emplacement d’un utilisateur ».

Selon HPE et Aruba, l’attaquant a pu s’introduire dans la base de données grâce à l’utilisation d’une clé d’accès volée qui permettait également de déchiffrer les données stockées. L’équipementier a déclaré à nos confrères de SearchSecurity (groupe TechTarget) savoir comment la clé a été obtenue, mais il n’a pas souhaité en dire plus.

HPE précise que la clé a été automatiquement désactivée le 27 octobre dans le cadre de ses procédures de sécurité habituelles. En fait, ce n’est que le 2 novembre, six jours après la désactivation de la clé, que la brèche a été découverte et signalée. « Les outils de surveillance déployés dans l’environnement d’Aruba Central ont alerté notre équipe des opérations de sécurité d’une activité suspecte », explique l’équipementier dans sa FAQ. L’enquête conduite a permis d’établir que l’activité en question n’était pas autorisée.

Le document de réponse aux questions fréquentes s’est avéré particulièrement pauvre au niveau des détails dans plusieurs domaines. Par exemple, l’équipe d’Aruba y indique penser que les données clients exfiltrées étaient limitées à « une très petite quantité, voire aucune ». Mais l’entreprise ne peut même pas dire quels clients spécifiques ont vu leurs informations dérobées, ou à quels fichiers il y a eu accès et quand. L’équipementier indique ne pas activer la journalisation de l’accès aux fichiers individuels pour ces référentiels Aruba Central – même s’ils contiennent des données clients – parce que les référentiels sont « utilisés pour le streaming de données d’apprentissage automatique à haut volume ».

Si les données perdues ne posent pas en soi un risque massif d’attaques additionnelles par rebond, la télémétrie physique et les données de localisation des utilisateurs d’Aruba Central pourraient être utilisées, surtout qu’à l’heure actuelle, personne ne sait qui exactement a été exposé et quels fichiers ont été consultés par l’intrus.

Aruba a déclaré qu’aucune action n’est actuellement requise de la part des clients et qu’il n’est pas nécessaire de modifier les mots de passe ou autres paramètres de compte.