Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Une base de données renfermant des millions de SMS privés, a été exposée en ligne sans aucun chiffrement
    Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement,
    découverte faite par des chercheurs en sécurité de la société vpnMentor

    Ces derniers temps, les cas d’exposition des données d’utilisateurs sont très fréquents. Le cas d’octobre dernier où les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées via une base de données Elasticsearch non sécurisée en est un exemple. Et le 1er décembre dernier, une équipe de chercheurs a annoncé avoir découvert une importante base de données exposée en ligne de façon non sécurisée (sans chiffrement des données) et en accès libre pour tous. Tout ceci pourrait pousser à penser que les entreprises en possession de ces données ne font pas assez d’efforts pour assurer la sécurité des informations de leurs utilisateurs.

    C’est dans le cadre d’un vaste projet de cartographie web que les chercheurs en sécurité Noam Rotem et Ran Locar puisqu’il s’agit d’eux, ont fait cette découverte. Ils font partie de la société de protection de la vie privée en ligne appelée vpnMentor. Il se trouve que cette base de données est gérée par la société de communication américaine nommée TrueDialog et contenait des dizaines de millions de SMS. La société est basée est à Austin, au Texas et existe depuis plus de 10 ans. Elle est spécialisée dans la création de solutions SMS pour les grandes et les petites entreprises. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.


    C’est en effectuant un balayage des ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes que les chercheurs ont fait cette découverte. Ils ont ensuite utilisé des techniques expertes pour vérifier l'identité de la base de données et par la suite, ils ont alerté l’entreprise concernée. Il se trouve que les chercheurs ont pu accéder à cette base de données, car elle était complètement non sécurisée et sans aucun chiffrement. Grâce à un simple navigateur, ils ont pu manipuler les critères de recherche d'URL pour exposer les schémas de base de données en question.

    Après avoir été informée de l’exposition de sa base de données, la société TrueDialog l’a immédiatement mise hors ligne, mais n’a jamais daigné répondre à vpnMentor. C’est ce qu’ont déclaré les chercheurs : « Nous avons contacté la société. Nous avons divulgué nos conclusions et offert notre expertise pour les aider à fermer la fuite de données et à assurer que personne ne soit exposé à un risque. La base de données a été fermée depuis, mais TrueDialog ne nous a jamais répondu ».

    La base de données exposée contenait près d’un milliard d’entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, ainsi que des mots de passe et noms d’utilisateur pour des sites tels que Google et Facebook. Les informations personnelles contenues dans les SMS exposés pourraient constituer un atout pour les fraudeurs. Elles pourraient également servir à faire du chantage, conduire au vol d'identité et à la fraude.

    Source : VPN Mentor

    Et vous ?

    Qu’en pensez-vous ?
    Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?

    Voir aussi :

    Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs à cause d'un SDK malveillant sur Android
    Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées via une base de données Elasticsearch non sécurisée
    108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Citation Envoyé par Jonathan Voir le message

    Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?
    Puisque les sanctions financières n'ont pas l'air de marcher, la preuve avec Facebook qui a écopé d'une amende record de 5 milliards de dollars, moi je pense qu'il faille faire courir la peine de prison aux dirigeants de ces entreprises en cas de telles négligences. ça aura le mérite de les pousser à se soucier un tout petit peu des données de leurs utilisateurs.

  3. #3
    Membre régulier
    S'ils réussissent à décrypter les SMS de mes enfants je suis preneur

  4. #4
    Expert éminent
    RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 qui suivent la prise de connaissance de la fuite.

    RGPD, article 34.1. Obligation d'informer toutes les personnes physique en cas de fuite de données dans le cas où la fuite "[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, …"

    La sanction s'exprime en millions d'euro.

    J'espère que leur DPO a fait le nécessaire.
    [/FONT]
    Si tu donnes un poisson à un homme, il mangera un jour. Si tu lui apprends à pêcher, il mangera toujours (Lao Tseu).

    • Pensez à valoriser les réponses pertinantes, cliquez sur le bouton vert +1 pour indiquer votre accord avec la solution proposée.
    • Pensez à utiliser la balise [code] pour afficher du code, elle est cachée sous le bouton [#] dans l'éditeur.
    • Une discussion est terminée ? Alors le bouton est votre ami !

  5. #5
    Expert éminent
    Citation Envoyé par Michel Rotta Voir le message
    RGPD, ....

    La sanction s'exprime en millions d'euro.

    J'espère que leur DPO a fait le nécessaire.
    Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  6. #6
    Membre confirmé
    Citation Envoyé par transgohan Voir le message
    Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.
    Source ??

  7. #7
    Expert éminent
    Euh... Le bon sens ?
    Le RGPD est appliquée par la CNIL, qui est au mieux européenne.
    Donc elle n'a pas action à protéger les droits des américains, seulement des européens.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  8. #8
    Expert éminent sénior
    Citation Envoyé par Jonathan Voir le message
    À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés,
    5 milliards, really ?
    On est combien d'habitants sur cette pauvre planète, déjà ? Bientôt 7 milliards ? Et personne n'a tiqué ?

    Citation Envoyé par Michel Rotta Voir le message
    RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 * qui suivent la prise de connaissance de la fuite.
    * = nanosecondes ? minutes ? jours ? années ? millénaires ?
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

###raw>template_hook.ano_emploi###