IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 804
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 804
    Points : 50 740
    Points
    50 740
    Par défaut Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB
    Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB
    800 000 comptes utilisateurs piratés

    La mise en œuvre des bases de données continue de susciter des débats, tant il y a eu d’épisodes à retentissement autour d’elle. Si l’on allie à celle-ci, les réalités de l’internet des objets (IdO) avec les avantages, mais surtout les dangers, on obtient assurément un mélange détonnant, un scoop. Le constructeur américain de jouets connectés CloudPets nous en offre un ce matin, un énorme scandale au centre duquel il se trouve : une importante fuite de données par le biais de son ours connecté lié à une base de données MongoDB.

    Nom : CloudPets.jpeg
Affichages : 1052
Taille : 12,9 Ko

    Les colonnes de l’IBTimes UK font état ce matin de 800 000 comptes utilisateurs piratés. À cela s'ajoutent près de 2 millions d’enregistrements vocaux (supposés être en sécurité dans les serveurs de l’entreprise CloudPets) exposés, aux mains de hackers. Le phénomène n’est pourtant pas nouveau, on sait déjà que des pirates peuvent faire intrusion dans une base de données non sécurisée, en copier le contenu, l’effacer et retourner les données aux propriétaires contre rançon via le réseau Bitcoin. On sait aussi que le déploiement d’une base de données qu’elle soit relationnelle ou d’un autre type (c’est le cas de MongoDB) relève essentiellement de la responsabilité de l’administrateur qui doit veiller à parfaire les configurations pour endiguer les intrusions.

    Revenons au cas CloudPets pour signaler que le chercheur en sécurité Troy Hunt a fait à ce sujet deux révélations : l’une soulignant le fait que CloudPets a laissé sa base de données libre d’accès et l’autre, qu’un tiers avait essayé de les contacter par trois fois pour les prévenir de cette faille dans leur système, cela, sans jamais avoir de réponse.

    CloudPets n’a pour sa part pas encore confirmé les informations relatives à cette intrusion. Ce qui pose quand même un problème d’éthique. Ne dit-on pas que « les gens commettent des erreurs, mais c’est la façon dont ils réagissent qui détermine qui ils sont » ?

    Source : IBTimes UK, Troy Hunt

    Et vous ?

    Qu'en pensez-vous ? Simple maladresse ou acte prémédité ?

    Avez-vous déjà ou comptez-vous acheter un de ces jouets pour votre enfant ?

    Voir aussi :

    Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question

    Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon, les administrateurs invités à vérifier leurs configurations

    Les instances MongoDB prises en otage sont passées de 12 000 à plus de 27 000 en moins de 12 heures, d'après un chercheur
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Avatar de Cafeinoman
    Homme Profil pro
    Couteau suisse d'une PME
    Inscrit en
    Octobre 2012
    Messages
    628
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Couteau suisse d'une PME

    Informations forums :
    Inscription : Octobre 2012
    Messages : 628
    Points : 1 256
    Points
    1 256
    Par défaut Fête du slip?
    Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
    «Dieu ne joue pas aux dés.» - Albert Einstein. Et pan! 30 ans de retard dans la théorie quantique!
    «Tout n'est pas politique, mais la politique s'intéresse à tout.» - Nicolas Machiavel. Et surtout à ceux qui ne s'y intéressent pas.

  3. #3
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Citation Envoyé par Cafeinoman Voir le message
    Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
    Holà... Tout de suite les grands mots! Ce n'est pas criminel, cela relève juste de l'incompétence!!!

    Mais il est vrai que lorsque l'on finit par cumuler l'incompétence des mecs qui fournissent du logiciel avec des failles de sécurité, l'incompétence des concepteurs de hardware puis l'incompétence des mecs qui s'occupent de déployer le système et de l'administrer, cela ne se termine pas par un "accès aux données sécurisé à 100%"...

    Mais est-ce vraiment eux les responsables (l'erreur étant humaine) ou la naïveté des promoteurs de la solution qui croient pouvoir fournir des systèmes online insensibles aux vilains hackers de tout poil???

  4. #4
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    Juin 2003
    Messages
    5 749
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : Juin 2003
    Messages : 5 749
    Points : 10 666
    Points
    10 666
    Billets dans le blog
    3
    Par défaut
    En fait les hackers sont presques les sauveurs dans cette histoire parce que la base Mongo s'est fait vider par un (ou 3 apparement!) ransomware et donc du coup les données sont protégéres maintenant

    Enfin, pas tout à fait. Car il semble qu'en plus des emails et hash de mot de passes (ouf, ils sont pas en clair!), date de naissance, localisation des enfants, etc... la bdd contenait les liens vers les documents (images de profil, enregistrements vocaux...) qui sont directement accessibles sur Amazon S3, en download public... Et tout ça en deux versions : une version prod et test sur le même serveur

    Et ce n'est pas 3 mais au moins 4 tentatives par 2 personnes pour les avertir du danger dès le 30 decembre. Aucune réponse de leur part. Il on cherché à nier ces messages reçus mais y'a des preuves que oui.

    Bref...

Discussions similaires

  1. Débat : le Web sémantique, une porte ouverte à tous les abus ?
    Par dourouc05 dans le forum Web sémantique
    Réponses: 20
    Dernier message: 15/04/2011, 09h30
  2. Connaitre les users connectés sur une instance
    Par LBO72 dans le forum Administration
    Réponses: 5
    Dernier message: 02/03/2010, 17h45
  3. Réponses: 0
    Dernier message: 25/06/2008, 13h00
  4. un script pour recuperer les utilisateurs connectés sur une machine
    Par s-ehtp dans le forum Shell et commandes GNU
    Réponses: 4
    Dernier message: 04/04/2008, 15h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo