Un SSD manquant dans un centre de données de SAP se retrouve sur eBay et a été racheté par un employé d'eBay
Un disque SSD manquant dans le centre de données de SAP se retrouve sur eBay et déclenche une enquête de sécurité
il contiendrait des données personnelles sur plusieurs employés de SAP
Un disque SSD volé en novembre dans un centre de données du géant allemand des logiciels d'entreprise SAP aurait été récemment mis en vente sur eBay. Quatre disques SSD auraient disparu du centre de données, mais un seul a pu être racheté par un employé de SAP. Un rapport indique que le disque racheté par l'employé contient les données personnelles d'au moins cent employés de SAP. Une enquête de sécurité a révélé des failles dans la surveillance du centre donnée, car aucun contrôle physique n'était effectué sur les personnes quittant le centre de données, décrit comme un lieu sécurisé. SAP ignore toujours où se trouvent les trois autres disques SSD volés.
Comment les places de marché tierces peuvent-elles empêcher la mise en vente d'objets volés ? Les affaires douteuses sur eBay et d'autres places de marché en ligne sont monnaie courante. Il n'est pas surprenant de tomber sur des marchandises contrefaites, volées, cassées ou faisant l'objet d'une publicité mensongère vendues par des tiers, mais il l'est moins de trouver un objet qui vous a été volé. C'est apparemment ce qui est arrivé récemment à un employé de SAP. Selon un rapport sur le sujet, il aurait trouvé l'un des quatre disques SSD volés en novembre dans un centre de données de SAP à Baden-Württemberg, en Allemagne, en vente sur eBay.
Une enquête de sécurité ultérieure a révélé que les disques avaient été volés, bien qu'une erreur humaine et une défaillance du processus aient également contribué à leur perte. Selon un rapport de The Register, les centres de données qui contenaient les disques SSD liftés manquaient de "contrôles physiques", ce qui aurait permis à quelqu'un de déplacer les disques d'un emplacement sécurisé vers un bâtiment moins sécurisé situé ailleurs sur le campus. Les disques ont ensuite été volés sans embarras. Le rapport souligne que l'éditeur continue d'enquêter sur la situation et ne saurait toujours pas où se trouvent les trois autres disques SSD volés.
En outre, il souligne également que les centres de données européens de SAP ont subi cinq cambriolages au cours des deux dernières années. L'on ignore exactement comment l'employé a trouvé le périphérique de stockage sur eBay, a su qu'il appartenait à SAP et l'a confirmé. Il est possible que l'employé ait cherché sur eBay avec l'intention de trouver le bien volé et qu'il ait simplement eu de la chance. Cette faille de sécurité met SAP dans l'embarras à un moment où il s'efforce d'accroître son succès dans le cloud computing et des logiciels en tant que service, à la fois par le biais de ses propres services cloud et de services hébergés par des fournisseurs tiers.
Selon des sources anonymes au fait de l'incident, le disque retrouvé par l'employé contenait des informations personnelles concernant des dizaines de travailleurs. Mais en répondant aux questions sur l'incident, un porte-parole de l'entreprise a déclaré : « SAP prend la sécurité des données très au sérieux. Bien que nous ne fassions aucun commentaire sur les enquêtes internes, nous sommes en mesure de confirmer que nous ne disposons actuellement d'aucune preuve suggérant que des données confidentielles de clients ou des PII [informations personnelles identifiables] ont été dérobées à l'entreprise par le biais de ces disques ou d'une autre manière ».
Les places de marché en ligne telles qu'Amazon et Walmart sont incapables d'identifier et de bloquer les activités douteuses parce que les vendeurs sont anonymes et n'ont que peu d'exigences pour utiliser ces plateformes. L'incapacité des géants du commerce de détail à repérer ou à supprimer suffisamment de vendeurs douteux a permis à des criminels, qu'il s'agisse d'individus ou de groupes organisés, de tirer profit de biens volés par l'intermédiaire de places de marché tierces. Selon certaines sources, dans le cas de l'éditeur allemand de logiciels d'entreprise, eBay a fait la une d'innombrables fois parce que des biens volés étaient vendus sur son site.
Mais les objets volés à SAP ne seraient pas les seuls à se retrouver souvent sur eBay. Dans le domaine de la technologie, des rapports récents ont signalé de la vente d'ordinateurs volés dans les voitures Tesla avec des données personnelles. En outre, il a été signalé qu'un réseau criminel a vendu pour plus de 12 millions de dollars d'appareils électroniques et de cartouches d'imprimante. Même les autorités fédérales ne seraient pas à l'abri de voir leur matériel dopé figurer sur le site de vente aux enchères. En 2008, par exemple, le Government Accountability Office des États-Unis a expliqué en détail comment des articles militaires étaient vendus sur eBay.
La politique d'eBay à l'égard des vendeurs interdit la vente de biens volés et stipule que la société "collaborera avec les forces de l'ordre en cas de tentative de vente de biens volés sur eBay". Son site Web renvoie à un site du ministère de la Justice de l'État de Californie qui permet de signaler les délits de vente au détail organisée, ainsi qu'à une page du Centre de sécurité d'eBay qui permet de signaler toute activité suspecte aux forces de l'ordre. Un porte-parole a déclaré que la société avait une tolérance zéro pour les activités criminelles et soutenait les poursuites pénales contre ceux qui tentent d'utiliser la plateforme pour vendre des biens volés.
Le représentant a également mentionné l'équipe Proact d'eBay, lancée en 2007, qui travaille avec 70 détaillants pour identifier les vendeurs potentiellement frauduleux afin de les transmettre aux autorités chargées de l'application de la loi. Toutefois, malgré ces dispositifs de sécurité, des personnes peuvent s'en sortir en utilisant eBay comme marché noir pour des objets volés. Et selon les analystes, il est peu probable que les objets volés soient vraiment éradiqués d'eBay. Une nouvelle loi, INFORM Consumers Act, concernant les places de marché en ligne devrait bientôt entrer en vigueur aux États-Unis, mais les analystes estiment déjà qu'elle est imparfaite.
La loi "INFORM Consumers Act" vise à lutter contre la fraude en ligne en obligeant les détaillants tels qu'eBay à vérifier les références des vendeurs tiers qui réalisent un volume important de transactions. Ainsi, les vendeurs qui réalisent au moins 200 ventes et dont le revenu annuel brut atteint 5 000 dollars devront fournir des informations personnelles telles que leur numéro d'identification gouvernemental et leur numéro de sécurité sociale, ce qui pourrait décourager les activités illégales et empêcher la création de doubles comptes. Mais les critiques affirment que la loi ne constitue pas une solution complète au problème des vendeurs frauduleux.
Selon Teresa Murray, directrice du bureau Consumer Watchdog du Public Interest Research Group (PIRG) aux États-Unis, la loi INFORM Consumers vise principalement les vendeurs à grand volume et les réseaux criminels, mais elle risque de ne pas empêcher efficacement la vente de produits volés en ligne. Murray suggère que les détaillants prennent des mesures plus proactives pour lutter contre les mauvais vendeurs, par exemple en exigeant des références détaillées de tous les vendeurs. Le scepticisme règne quant à la diligence avec laquelle les places de marché en ligne comme eBay et Amazon contrôlent les vendeurs tiers.
Les escroqueries et les produits de contrefaçon continuent de prospérer sur ces plateformes. Murray souligne que même les profanes peuvent identifier les vendeurs suspects, tels que ceux qui proposent une abondance d'articles identiques ou qui vendent des produits neufs à des prix anormalement bas. Si les produits contrefaits achetés sur les places de marché en ligne peuvent présenter des risques physiques, les biens volés présentent davantage un risque moral. Selon la National Retail Federation, les articles volés, dont certains dans des magasins de détail, auraient coûté 94,5 milliards de dollars au secteur en 2021.
L'achat de biens volés peut également entraîner des maux de tête, car il peut être difficile d'obtenir un remboursement. Une anecdote du Guardian raconte qu'un acheteur a acheté un ordinateur portable sur eBay, avant de découvrir qu'il avait été volé au Service national de santé d'Angleterre. Malgré les difficultés rencontrées pour obtenir un remboursement, l'acheteur a fini par en recevoir un après l'intervention des médias. Si un bien volé, tel que le disque SSD de SAP, apparaît sur eBay, il est relativement facile pour le voleur de revenir sur la plateforme et de récidiver, en particulier s'il a un historique de ventes limité.
En 2019, le spécialiste finlandais de la suppression des données Blancco a constaté que sur un échantillon de 159 disques d'occasion vendus sur eBay aux États-Unis et en Europe, 42 % (soit 67 appareils) permettaient à toute personne ayant des connaissances informatiques de base d'accéder aux données stockées par leurs anciens propriétaires. Selon l'entreprise, 15 % d'entre eux contenaient des informations confidentielles susceptibles d'être utilisées par des cybercriminels.
Selon les critiques, pour lutter efficacement contre ce problème, les plateformes en ligne comme eBay doivent renforcer leurs processus de vérification des vendeurs et faire en sorte qu'il soit plus difficile de trouver et de vendre des biens volés. Dans le même temps, ils soulignent que pour les organisations telles que SAP qui recherchent des disques SSD manquants, la surveillance d'eBay pourrait s'avérer utile pour localiser les articles restants.
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Répondre avec citation
Partager