Discussion :

[Stan Adkens]

Une société de spyware a exposé des « téraoctets » de données personnelles
Y compris des selfies, des messages texte et des données de localisation

Le Cloud, l'un des principaux moteurs de la transformation numérique, présente de nombreux avantages tels que la réduction des coûts de maintenance, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi, etc. Ces avantages cités, entre autres, permettent aux organisations de booster leur productivité à des coûts réduits. Cependant, plusieurs parmi celles qui ont adopté le Cloud ne disposent pas de son outil de sécurité de base.

En juillet dernier, une société de cyber-résilience a révélé l’exposition de 157 Go de données de plus d'une centaine d'entreprises manufacturières sur un serveur public non sécurisé. Environ un mois après, un chercheur en sécurité a révélé une nouvelle vulnérabilité de plateforme Web.

Selon le chercheur, une compagnie de distribution des logiciels espions pour téléphones cellulaires auprès des parents et des employeurs a laissé exposer des « téraoctets de données » personnelles dans un compartiment Amazon S3 (Simple Storage Service) mal protégé. Les données exposées sont composées des selfies, des messages texte, des enregistrements audio, des contacts, des données de localisation, des mots de passe et des identifiants hachés, des messages Facebook, entre autres, selon le chercheur.

Le compartiment d’Amazon S3 non protégé, à travers lequel les données de milliers de clients ainsi que des informations sur des personnes sous surveillance ont été exposées, appartenait à Spyfone, une société spécialisée dans la distribution des applications conçues pour intercepter des messages texte, des appels, des e-mails et suivre l’emplacement d’un appareil surveillé.

Au moins 2 208 clients actuels sont concernés et plusieurs téraoctets de « photos caméra non sécurisées » ont été exposées ainsi que « des centaines ou des milliers de photos et d’audio dans chaque dossier », a déclaré le chercheur. « Il y a actuellement 3 666 téléphones suivis. », a-t-il ajouté.

Le chercheur a pu accéder à toutes ces données des clients et des personnes suivies par le biais des comptes administrateurs créés sans difficultés sur la plateforme de Spyfone dont la connexion aux services back-end ne nécessitait pas de mot de passe.

Troy Hunt, administrateur de « have i been pwned », site Web de vérification de violation de comptes, après analyse des données reçues du chercheur, a découvert que 44 109 adresses électroniques uniques ont également été exposées.

Une API du distributeur de logiciels espions était aussi laissée sans protection qui pourrait permettre à des pirates d’exploiter une liste régulièrement actualisée de noms et prénoms, adresses e-mail et IP. La liste comptait plus de 11 000 adresses e-mail uniques.

Mercredi, Steve McBroom, un représentant de Spyfone, a confirmé la fuite de données « qui affectait environ 2 200 de nos clients », et déclaré que Spyfone a ouvert une enquête sur la fuite de données tout en exprimant son soulagement que la brèche ait été découverte par une personne de bonnes intentions.

« Nous nous sommes associés à des sociétés de sécurité des données de premier plan pour nous aider dans notre enquête et nous continuons à nous concerter avec les autorités chargées de l'application de la loi à ce sujet. Chaque jour, notre équipe fait de grands progrès pour améliorer la sécurité de notre site et nous prévoyons certainement que cette récente violation de données est la dernière », a déclaré McBroom. « Des communications concernant la violation et l'enquête ont été envoyées à nos clients. », a-t-il ajouté.

Source : Motherboard

Et vous ?

Qu’en pensez-vous ?
Pourquoi les organisations laissent-elles exposer leurs données d’abord avant de penser à des mesures de sécurité ensuite ?

Voir aussi

Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées, sur un serveur public non sécurisé
Timehop : un piratage expose les données d'environ 21 millions d'utilisateurs, mais les photos et messages des réseaux sociaux n'ont pas été affectés
Une erreur de configuration sur un bucket Amazon S3 a exposé des infos de GoDaddy, le plus grand bureau d'enregistrement de noms de domaine du monde
Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée, à cause d'un service de stockage qui n'a pas été sécurisé
Suède : L'agence des transports expose des données confidentielles du pays que son ministre qualifie de désastre, l'agence relativise son exploitation

[Ryu2000]

Pourquoi les organisations laissent-elles exposer leurs données d’abord avant de penser à des mesures de sécurité ensuite ?

Au début tu ne te rends pas compte que la sécurité est importante.
C'est compliqué, il faut trouver des gens qui s'y connaissent, et aussi bien il existera toujours des failles.

Bon après utiliser un serveur public non sécurisé c'était peut être pas la meilleure idée, ils auraient pu faire un petit effort.
Maintenant ils savent que c'est important, ils devraient éviter de reproduire l'erreur, on apprends plus de ses erreurs que de ses succès

[Mc geek]

Si je résume bien :
Une société spécialisée dans l'interception des données stocke ses informations sur un serveur amazon et laisse un accès car :

Le chercheur a pu accéder à toutes ces données des clients et des personnes suivies par le biais des comptes administrateurs créés sans difficultés sur la plateforme de Spyfone dont la connexion aux services back-end ne nécessitait pas de mot de passe.

Donc, soit le chercheur invente des trucs pour se faire mousser, soit cette entreprise fait preuve d'une rare incompétence, ce qui est étrange pour une compagnie qui œuvre dans la sécurité.
Je suis encore étudiant donc je vais hasarder une hypothèse : C'est une blague ? Des entreprises dans la sécurité ont le droit d'être aussi incompétente et de mettre en danger la vie de milliers de gens (voir plus) ?

[Invité]

Si je résume bien :
Une société spécialisée dans l'interception des données stocke ses informations sur un serveur amazon et laisse un accès car :

Donc, soit le chercheur invente des trucs pour se faire mousser, soit cette entreprise fait preuve d'une rare incompétence, ce qui est étrange pour une compagnie qui œuvre dans la sécurité.
Je suis encore étudiant donc je vais hasarder une hypothèse : C'est une blague ? Des entreprises dans la sécurité ont le droit d'être aussi incompétente et de mettre en danger la vie de milliers de gens (voir plus) ?

Ça semble être une société spécialisée dans la distribution et l'exploitation d'outils d'espionnage de contrôle parental avancé sur smartphone. Il faut juste avoir accès au téléphone pour installer cet outil et donner tous les droits nécessaires ensuite sur les données.

A mon sens, rien à voir avec une entreprise de sécurité car à aucun moment il n'est question de traiter cette problématique sur l'appareil où est installé l'application. C'est juste une entreprise lambda qui collecte et stocke des données personnelles avec légèreté (et je suis poli).

[alexetgus]

Ils ont besoin d'enquêter avec des "acteurs de premier plan" ?
Ils sont vraiment idiots ou je rêve ?!

Les résultats de l'enquête sont simples, c'est des inconscients faisant preuve d'une négligence et d'une incompétence à toutes épreuves.
Ils devraient se recycler dans la commercialisation de Tatoo, il y a moins de risques. Et encore, avec une bande comme celle là, c'est pas certain qu'ils ne créent pas des risques qui n'existaient pas jusqu'ici...

(J'ai mis le lien vers Tatoo pour les plus jeunes)