Les données des clients ont été exposées à des parties inconnues dans une fuite de données DigitalOcean

Historiquement, nous avons appris à associer des violations de données à des cybercriminels qui utilisent des techniques intelligentes pour se frayer un chemin au-delà des défenses des organisations ciblées et voler les données personnelles des utilisateurs. S'il est vrai que les pirates informatiques compromettent les services en ligne de toutes formes et tailles, de nos jours, l'exposition des données est le plus souvent le résultat d'erreurs commises par les fournisseurs de services eux-mêmes.

Les chercheurs en sécurité trouvent des serveurs non protégés et des bases de données exposées accidentellement qui contiennent des téraoctets d'informations privées chaque jour, et ils invitent constamment les entreprises à resserrer leurs procédures de stockage de données. Malheureusement, des fuites continuent de se produire, et cela est dû au moins en partie au fait que les gens ont tendance à sous-estimer ces incidents. Souvent, lorsque les experts trouvent une base de données exposée, ils n'ont aucun moyen de dire si un tiers a réussi à accéder aux données avant eux, et parce que les fournisseurs de services ne remarquent généralement aucune activité malveillante immédiatement après, les gens supposent que la fuite est sans conséquence. DigitalOcean, l'un des plus grands fournisseurs d'hébergement au monde, a récemment dévoilé certaines données clients et a montré à quel point cette mentalité «sans préjudice» pouvait être dangereuse.

DigitalOcean expose un document plein de données utilisateur

La semaine dernière, DigitalOcean a commencé à informer certains de ses clients d'une fuite de données. Apparemment, un employé avait accidentellement mis à disposition un document interne via un lien public. Les données exposées incluent les adresses e-mail et les noms de compte, ainsi que des détails spécifiques au compte tels que l'utilisation de la bande passante, le nombre de gouttelettes et les notes de support. Les montants affectés par les utilisateurs payés pour les services d'hébergement au cours de l'année 2018 ont également été exposés, bien que la société ait insisté sur le fait que les informations financières des personnes n'étaient pas affectées.

La notification de violation n'a jamais été transformée en une déclaration officielle ou un communiqué de presse, et vous pouvez probablement comprendre pourquoi. Le document ne contient pas vraiment d'informations particulièrement sensibles et, à part les adresses e-mail et les noms de compte, il n'y a pas grand-chose d'autre que les pirates pourraient trouver utiles. De plus, lorsque des médias comme ZDNet ont appris la nouvelle, un porte-parole de DigitalOcean a déclaré que seulement 1% environ des clients de l'entreprise étaient concernés. En d'autres termes, la fuite ne semble pas particulièrement remarquable. D'un point de vue éducatif, cependant, il peut être extrêmement utile, en particulier pour les personnes qui ont tendance à sous-estimer les dangers associés à ce type de fuites.

Des tiers non autorisés ont accédé aux données 15 fois

DigitalOcean a déclaré qu'il n'y avait eu aucune activité anormale observable autour des comptes des personnes en raison de la violation. La société a cependant admis que le document avait été consulté par des tiers non autorisés 15 fois avant d'être retiré.

Ce n'est pas la pire fuite que nous ayons jamais vue, mais nous espérons que les gens y prêteront attention, car cela peut agir comme une preuve tangible que si une information est laissée sur Internet, tôt ou tard, quelqu'un obtiendra à elle. Ces informations peuvent (et sont souvent) extrêmement sensibles, et les gens doivent savoir que même en l'absence d'abus avéré, s'ils ont été révélés publiquement, ils doivent être considérés comme compromis.

Espérons que des entreprises comme DigitalOcean feront tout leur possible pour que les incidents comme celui-ci soient aussi rares que possible, et j'espère que les utilisateurs se rendront enfin compte à quel point ils peuvent être dangereux.