Les données personnelles de huit millions de transactions, majoritairement issues du Royaume-Uni, ont été mises en ligne au cours du mois de février.
Une fois plus, Bob Diachenko a fait des révélations fracassantes. Le spécialiste ukrainien de la cybersécurité de Comparitech a révélé, il y a quelques jours, avoir fait la découverte d'une base de données géante contenant les informations personnelles tirées de huit millions de transactions, effectuées par des Européens, hébergées de façon non sécurisée sur les serveurs d'Amazon Web Services (AWS), la branche Cloud du e-commerçant américain.
Lire aussi :
Vade Secure : "Les deepfakes et deep voices vont contribuer à la diffusion des ransomwares" (Interview)
Vade Secure : "Les deepfakes et deep voices vont contribuer à la diffusion des ransomwares" (Interview)
Des données indexées et accessibles durant près d'une semaine
Les dossiers découverts au sein de la base de données nommée MongoDB comportaient les noms, adresses de livraison, adresses électroniques, numéros de téléphone, modes de paiement, références des produits achetés, ainsi que les identifiants de commande, les quatre derniers chiffres de la carte bancaire utilisée lors de la transaction et le lien vers la facture. Les détails complets des cartes de crédit et les mots de passe n'auraient pas été compromis, selon Amazon.L'accès à la base de données, découverte le 3 février 2020, soit le lendemain de son indexation, n'était donc pas sécurisé. Celle-ci est même restée indexée sur plusieurs moteurs de recherche durant cinq jours. Elle concerne les données sans chiffrement ni protégées par un mot de passe de huit millions de transactions menées par les clients (dont on ignore le nombre exact) de plateformes bien connues comme Amazon, eBay, PayPal, Shopify ou Stripe, pour ne citer qu'eux. La moitié proviendrait du Royaume-Uni, l'autre du reste de l'Europe.
Des millions de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS ainsi qu'un ID de clé d'accès AWS étaient aussi hébergés sur la base de données.
Une appli utilisée par des vendeurs web identifiée
Dès que Bob Diachenko et son équipe se sont aperçus de l'exposition publique de la base de données, ils ont sans attendre contacté l'hébergeur, Amazon Web Services, qui n'avait pas réussi à identifier l'entreprise responsable plusieurs jours après. « Amazon a été assez rapide pour me répondre, dans les 24 heures. Ils ont pu démarrer leur propre enquête dans la foulée », confie Diachenko.On sait en revanche que les informations collectées proviennent d'une application mise au point par des développeurs tiers, utilisée par une entreprise dont l'identité, qui n'a pas été révélée, fut connue le 8 février 2020, soit moins d'une semaine après la mise en ligne de la base de données. Cette entreprise permettait à des vendeurs web de gérer leurs informations de vente, et ce dans plusieurs pays, données utiles pour le calcul de la TVA.
Bob Diachenko alerte tout de même les clients britanniques de PayPal, qui pourraient être sollicités dans les prochaines semaines par des hackers qui pourraient tenter de les piéger, à partir des données qu'ils détiennent, via des messages frauduleux.
Source : Comparitech
