Discussion :

[Jonathan]

Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement,
découverte faite par des chercheurs en sécurité de la société vpnMentor

Ces derniers temps, les cas d’exposition des données d’utilisateurs sont très fréquents. Le cas d’octobre dernier où les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées via une base de données Elasticsearch non sécurisée en est un exemple. Et le 1er décembre dernier, une équipe de chercheurs a annoncé avoir découvert une importante base de données exposée en ligne de façon non sécurisée (sans chiffrement des données) et en accès libre pour tous. Tout ceci pourrait pousser à penser que les entreprises en possession de ces données ne font pas assez d’efforts pour assurer la sécurité des informations de leurs utilisateurs.

C’est dans le cadre d’un vaste projet de cartographie web que les chercheurs en sécurité Noam Rotem et Ran Locar puisqu’il s’agit d’eux, ont fait cette découverte. Ils font partie de la société de protection de la vie privée en ligne appelée vpnMentor. Il se trouve que cette base de données est gérée par la société de communication américaine nommée TrueDialog et contenait des dizaines de millions de SMS. La société est basée est à Austin, au Texas et existe depuis plus de 10 ans. Elle est spécialisée dans la création de solutions SMS pour les grandes et les petites entreprises. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.

C’est en effectuant un balayage des ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes que les chercheurs ont fait cette découverte. Ils ont ensuite utilisé des techniques expertes pour vérifier l'identité de la base de données et par la suite, ils ont alerté l’entreprise concernée. Il se trouve que les chercheurs ont pu accéder à cette base de données, car elle était complètement non sécurisée et sans aucun chiffrement. Grâce à un simple navigateur, ils ont pu manipuler les critères de recherche d'URL pour exposer les schémas de base de données en question.

Après avoir été informée de l’exposition de sa base de données, la société TrueDialog l’a immédiatement mise hors ligne, mais n’a jamais daigné répondre à vpnMentor. C’est ce qu’ont déclaré les chercheurs : « Nous avons contacté la société. Nous avons divulgué nos conclusions et offert notre expertise pour les aider à fermer la fuite de données et à assurer que personne ne soit exposé à un risque. La base de données a été fermée depuis, mais TrueDialog ne nous a jamais répondu ».

La base de données exposée contenait près d’un milliard d’entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, ainsi que des mots de passe et noms d’utilisateur pour des sites tels que Google et Facebook. Les informations personnelles contenues dans les SMS exposés pourraient constituer un atout pour les fraudeurs. Elles pourraient également servir à faire du chantage, conduire au vol d'identité et à la fraude.

Source : VPN Mentor

Et vous ?

Qu’en pensez-vous ?
Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?

Voir aussi :

Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs à cause d'un SDK malveillant sur Android
Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées via une base de données Elasticsearch non sécurisée
108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs

[Thomasa21]

Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?

Puisque les sanctions financières n'ont pas l'air de marcher, la preuve avec Facebook qui a écopé d'une amende record de 5 milliards de dollars, moi je pense qu'il faille faire courir la peine de prison aux dirigeants de ces entreprises en cas de telles négligences. ça aura le mérite de les pousser à se soucier un tout petit peu des données de leurs utilisateurs.

[sacdebille]

S'ils réussissent à décrypter les SMS de mes enfants je suis preneur

[Michel Rotta]

RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 qui suivent la prise de connaissance de la fuite.

RGPD, article 34.1. Obligation d'informer toutes les personnes physique en cas de fuite de données dans le cas où la fuite "[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, …"

La sanction s'exprime en millions d'euro.

J'espère que leur DPO a fait le nécessaire.
[/FONT]

[transgohan]

RGPD, ....

La sanction s'exprime en millions d'euro.

J'espère que leur DPO a fait le nécessaire.

Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.

[Thomasa21]

Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.

Source ??

[transgohan]

Euh... Le bon sens ?
Le RGPD est appliquée par la CNIL, qui est au mieux européenne.
Donc elle n'a pas action à protéger les droits des américains, seulement des européens.

[Jipété]

À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés,

5 milliards, really ?
On est combien d'habitants sur cette pauvre planète, déjà ? Bientôt 7 milliards ? Et personne n'a tiqué ?

RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 * qui suivent la prise de connaissance de la fuite.

* = nanosecondes ? minutes ? jours ? années ? millénaires ?