Un serveur n'était pas protégé par un mot de passe et des millions de documents bancaires ont été perdus
Un autre jour, une autre mine exposée de données sensibles. La base de données a été découverte le 10 janvier par le chercheur en sécurité Bob Diachenko. Il y avait 24 millions de disques pesant plus de 51 Go, et dès que Diachenko a vu ce que ces disques contenaient, il a su qu'il devait agir rapidement.
Le texte avait apparemment été généré par une solution d'OCR. OCR signifie Optical Character Recognition, une technologie utilisée pour convertir des documents manuscrits ou imprimés en texte lisible par machine. Dans ce cas particulier, le logiciel OCR avait numérisé les rapports de crédit et d'hypothèque.
Chaque enregistrement contenant différentes parties de documents différents, il est difficile d'estimer le nombre exact d'individus affectés. Cependant, il est juste de dire que beaucoup d'informations extrêmement sensibles ont été laissées de côté. La base de données contenait les noms, adresses, numéros de téléphone, antécédents de crédit, numéros de sécurité sociale, etc. Comme Diachenko se met, la base de données était « une mine d'or pour les cyber - criminels qui ont tout ce qu'il faut pour voler des identités, fausses déclarations de revenus de fichiers, obtenir des prêts ou des cartes de crédit".
Qui a exposé les données?
Diachenko a appelé Zack Whittaker de TechCrunch pour demander de l’aide dans l’enquête. Après un examen plus approfondi, ils ont découvert que les documents remontaient à 2008 et avaient été publiés par plusieurs grandes institutions financières, notamment Wells Fargo, CapitalOne, HSBC, ainsi que par deux ministères fédéraux américains.
Un peu plus tard, ils ont conclu que l'information avait été collectée par Ascension, une entreprise basée au Texas qui fournit des services d'analyse de données aux banques. Whittaker a contacté Sandy Campbell, un représentant de la société mère d'Ascension, qui a répondu que oui, la base de données appartenait au secteur de l'analyse, mais non, leurs systèmes n'avaient pas été compromis.
Apparemment, un vendeur engagé par Ascension a commis l'erreur. Bien que Campbell ait refusé de nommer ledit fournisseur, Zack Whittaker pense qu'il s'agit d'OpticsML, basé à New York. Compte tenu du fait que, selon une version archivée de son site Web (la version en ligne est en panne pour une raison quelconque), OpticsML offre des services d'OCR «à certaines des plus grandes entreprises du secteur des prêts hypothécaires», le scénario ne semble pas très improbable. Cela dit, personne n’a officiellement confirmé l’information.
La bonne nouvelle est qu’après Citigroup, l’une des institutions financières dont les clients ont été touchés, est intervenue, la base de données a été supprimée et elle est inaccessible depuis le 15 janvier.
Comment les données ont-elles été exposées?
Bob Diachenko n'a pas eu recours à une injection de code intelligente, à un mot de passe brutal ou à un autre type de technique de piratage. Au lieu de cela, il l'a découvert avec l'aide de moteurs de recherche accessibles au public, tels que Shodan et Censys, et lorsqu'il y est parvenu, aucun mot de passe ne l'empêchait de le consulter, de le télécharger, voire d'en abuser.
Les données ont été laissées sur un cluster ElasticSearch et faisaient face à Internet sans aucune forme de protection. Il était accessible à tous ceux qui le souhaitaient, et le trouver était aussi difficile que de saisir une requête dans un moteur de recherche.
C'est la dernière d'une longue série de fuites de données qui ne survient pas parce que les pirates sont trop intelligents ou parce que les logiciels sont trop faibles, mais parce que les fournisseurs commettent des erreurs de configuration simples et totalement évitables lors de la protection des informations des personnes. Cela vient en fait quelques jours à peine après qu'un autre serveur ElasticSearch non sécurisé ait exposé toutes sortes de données sensibles appartenant aux utilisateurs de plusieurs casinos en ligne.
Les vendeurs doivent vraiment jouer leur jeu en matière de sécurité des personnes. Ils disposent des outils nécessaires pour éviter au moins certains des incidents exposant des données, et ils n'ont aucune excuse pour ne pas les utiliser.
