L'éditeur DigitalOcean ne détruisait pas totalement les données des clients partants

Un éditeur américain de services cloud vient de se voir notifier une faille de sécurité plutôt gênante. Certaines données d'anciens clients pouvaient ne pas être effacées et pouvaient même être découvertes par un tiers. DigitalOcean a reconnu avoir déjà identifié la faille de sécurité et a déployé un patch de sécurité.

Aux Etats-Unis, le fournisseur de services Cloud DigitalOcean vient de se faire tacler par Wired. Le site reprend les arguments d'un internaute ayant constaté que la société n'effaçait pas totalement les données d'anciens clients sur ses serveurs virtuels. De même, une vulnérabilité permettait d'accéder à ces informations.

Une porosité malvenue d'autant que l'internaute en question indique avoir obtenu certaines données comme des adresses e-mail mais aussi des identifiants et codes d'accès à des sites tout comme d'autres mots de passe permettant de s'identifier à des outils professionnels.

Dans un communiqué, DigitalOcean a reconnu que la faille de sécurité était déjà connue de ses services. L'éditeur précise également avoir effacé les données d'anciens clients contenues dans ses SSD. Il ajoute avoir déployé une mise à jour de sécurité, invisible pour les utilisateurs, sur l'ensemble de ses hyperviseurs.

Il ajoute que « tous les nouveaux serveurs virtuels sont désormais utilisés avec un disque vide, assurant ainsi le fait qu'aucune donnée ne soit déjà présente. Nous tenons aussi à préciser que moins de 3% des serveurs virtuels étaient potentiellement touchés par ce risque. Avec la mise à jour, il n'y a désormais aucun moyen d'exploiter cette vulnérabilité ».