IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une fuite massive de données suite à une attaque sur Michael Page


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut Une fuite massive de données suite à une attaque sur Michael Page
    Une fuite massive de données suite à une attaque sur Michael Page
    Des données en production ont été utilisées dans un serveur de développement

    Le groupe de recrutement britannique Michael Page a été hacké et quelque 780 000 candidats ont vu leurs adresses email uniques volées ainsi que la fuite de données privées comme les noms, les lettres de présentation et les parcours professionnels. La fuite a été rapportée par le chercheur de sécurité Troy Hunt. Dans un billet de blog, il a affirmé que cette fuite de données MySQL dépasse les 30 GB, un volume énorme de données en fuite selon le chercheur.

    La firme a reconnu la véracité des faits et a fait savoir que l’attaque a été menée le 31 octobre dernier et découverte le jour suivant. Elle a informé également que les hackers derrière cette attaque ont accepté volontiers de détruire les données dérobées, une déclaration que beaucoup ont du mal à croire.

    Dans un premier temps, Michael Page a envoyé des emails à ses clients les informant que leurs noms, adresses email et mots de passe ont été pris par des hackers, néanmoins, les mots de passe ont été chiffrés. Toutefois, la firme est revenue avec une autre annonce pour informer que d’autres données privées ont été volées à savoir les numéros de téléphone, les localisations, les secteurs d’activité, les types d’emploi et les positions actuelles des clients.

    La firme a blâmé son partenaire Capgemini pour cette fuite, en suggérant que les attaquants ont pu accéder aux données par le biais d’un serveur de développement exploité par Capgemini et utilisé pour tester les sites web de Michael Page. « Nous sommes désolés de vous informer que les détails que vous avez fournis lors de votre enregistrement mypage ont été identifiés comme ceux accédés [par les hackers]. Depuis qu’on a détecté cette attaque, nous avons travaillé en non-stop pour corriger ce problème en collaboration avec Capgemini, qui est un leader mondial en consulting, technologie et services de sous-traitement », a précisé Michael Page dans un email envoyé à ses clients.

    La firme a précisé qu’elle a immédiatement verrouillé ses serveurs et sécurisé les points d’entrée. Elle a dû également mener une investigation pour comprendre la nature de l’attaque. Pour rassurer ses clients, Michael Page a informé qu’une requête a été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.

    Cependant, parmi les clients de Michael Page, surtout ceux opérant dans le domaine de l’IT, beaucoup n’ont pas été heureux de savoir que des données personnelles en production ont été utilisées dans un serveur de développement sans aucune mesure de chiffrement ou d’anonymisation. « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »

    Les clients de la firme se sont demandés également pourquoi ils ont dû attendre dix jours avant d’être informés. Ils ont appelé la firme à donner plus de détails sur la localisation du serveur de développement et les règles de protection qui ont été en vigueur ; pourquoi un serveur de développement a été rendu accessible par internet et si Michael Page ou Capgemini ont vraiment opéré dans le serveur un niveau d’accès pour administrateur seulement. Michael Page a fait savoir qu’elle ne donnera plus de détails sur cette fuite.


    Source : Troy Hunt

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Homme Profil pro
    qdqsdqd
    Inscrit en
    Juin 2014
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Dominique Rep.

    Informations professionnelles :
    Activité : qdqsdqd

    Informations forums :
    Inscription : Juin 2014
    Messages : 17
    Points : 32
    Points
    32
    Par défaut
    Heureusement que le ridicule ne tue pas

  3. #3
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 758
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 758
    Points : 7 176
    Points
    7 176
    Par défaut
    « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »
    Folklorique.
    La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production

    edit : Matrice, modélisation en environnement fermé, apparemment ils ne connaissent pas ? D'accord ça coûte mais bonjour la réaction compréhensibles de(s) l'utilisateur(s). Heureusement que je ne suis plus dans ce fichier.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2007
    Messages
    697
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2007
    Messages : 697
    Points : 1 241
    Points
    1 241
    Par défaut
    Citation Envoyé par Coriolan Voir le message
    Michael Page a informé qu’une requête ait été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.
    Juste énorme Alors déjà j'aimerai bien savoir comment ils ont contacté les pirates mais en plus ils leurs demandent de retourner les données ? On n'est pas dans le monde du bitcoins, les hackers peuvent très bien renvoyer les données et dire qu'ils les ont supprimés...
    La seule raison que je vois qui pourrait justifier cette communication c'est qu'il y a eu une demande de rançon... Mais qui serait assez stupide pour payer ? Je suis peut-être naïf...(sic)

    Citation Envoyé par marsupial Voir le message
    Folklorique.
    La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production
    Oh tu sais quand on voit que Tchernobyl a été causée par des tests sur un environnement de production (et qu'a mon avis c'est toujours le cas en général dans le nucléaire), on n'est plus à ça prêt...

  5. #5
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2013
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2013
    Messages : 88
    Points : 447
    Points
    447
    Billets dans le blog
    1
    Par défaut
    Cependant, parmi les clients de Michael Page, surtout ceux opérant dans le domaine de l’IT, beaucoup n’ont pas été heureux de savoir que des données personnelles en production ont été utilisées dans un serveur de développement sans aucune mesure de chiffrement ou d’anonymisation. « Je vous ai confié mes données et vous avez brisé cette confiance en mettant mes données dans un serveur de développement sans l’anonymiser. Ceci est vraiment un manque de contrôle choquant de votre part et de la part de Capgemini », a écrit un client. « L’une des règles basiques est de ne jamais utiliser les données personnelles de cette façon. J’ai été dans l’IT pendant plus de trente ans et dans chaque environnement dans lequel j’ai travaillé, toutes les données personnelles étaient confinées dans un environnement de production seulement. »
    Je pense que cela soulève un problème dans le monde du développement de services. L'anonymisation des données n'est pas une petite opération et engendre un coût qui peut parfois être refusé pour réduire le budget investi.

    Si Capgemini n'a pas proposé cette opération d'anonymisation (économies sur l'architecte ? Je trouverai ça étrange vu que l'entreprise ne se porte pas si mal), alors ce sont eux les fautifs qui, par devoir de conseil, auraient dû lever ces alertes.
    Néanmoins, je sais que Capgemini ne donne pas de gros sujets comme ça aux jeunes tout juste sorti de l'école, je pense que cette opération a été proposée à Michael Page dans un lot supplémentaire que ce dernier n'a pas voulu dépenser. Dans ce cas alors la faute reviens d'abord à Michael Page qui ne tiens pas à avoir ses données protégées au mieux.

  6. #6
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    les affres de la sous-traitance ^^
    Rien, je n'ai plus rien de pertinent à ajouter

  7. #7
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    Juin 2003
    Messages
    5 749
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : Juin 2003
    Messages : 5 749
    Points : 10 666
    Points
    10 666
    Billets dans le blog
    3
    Par défaut
    Pour rassurer ses clients, Michael Page a informé qu’une requête a été envoyée aux pirates pour détruire les données ou les retourner, une chose qui a été faite selon la firme.
    J'imagine l'échange de mails:

    Bonjour,
    Nous avons constaté que vous nous avez volé 30 Gb de données. Merci de les détruire.
    Cordialement.
    Oups pardon désolé. Voilà c'est fait.
    Cordialement.
    Nous voilà rasurés

  8. #8
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Citation Envoyé par marsupial Voir le message
    Folklorique.
    La rigueur anglo-saxonne nous avait habitués à mieux... les tests sur un environnement de production
    Je pense surtout qu'il voulait dire que les données perso ne se retrouvent jamais dans son environnement de dev, ce qui est plutôt louable. Il n'affirme pas faire des tests en prod...
    En gros, il avait la bonne pratique de se créer un jeu d'essai en dev pour tester ces développement plutôt que de migrer les données personnelles de la prod vers le dev...

    J@ck.
    Pas de réponse par MP, merci.

    Penser au ça fait plaisir

  9. #9
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Suis-je le seul que ça fasse doucement rigoler ?

    Sur absolument tous les projets sur lesquels je suis passés, les données n'étaient pas anonymisées.

    Bon, sur un des projets il y avait un semblant d'anonymisation mais leur traitement n'était pas au point et au final tout était accessible quand même, mais sur les autres y'avait rien du tout.

Discussions similaires

  1. Réponses: 1
    Dernier message: 07/02/2014, 09h36
  2. Mise à jour de données suite à une requete
    Par laurentX3 dans le forum SAGE
    Réponses: 7
    Dernier message: 26/06/2013, 10h36
  3. Réponses: 5
    Dernier message: 25/01/2013, 13h18
  4. traitement données suite à une requête sql
    Par gussss dans le forum Excel
    Réponses: 2
    Dernier message: 17/03/2012, 00h50
  5. Réponses: 1
    Dernier message: 22/11/2011, 13h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo