Une base de données expose les informations de plus de 800 000 utilisateurs

Spread the love
Une base de données expose les informations de plus de 800 000 utilisateurs

Une base de données appartenant au webmaster des forums Digital Point expose les informations de plus de 800 000 utilisateurs.

publicité

Des données personnelles rendues publiques

Digital Point, basé à San Diego (Californie), se décrit comme la « plus grande communauté de webmasters au monde », rassemblant des freelances, des spécialistes du marketing, des codeurs et d’autres professionnels de la création.

Le 1er juillet, l’équipe de recherche de WebsitePlanet et le chercheur en cybersécurité Jeremiah Fowler ont découvert une base de données Elasticsearch non sécurisée contenant plus de 62 millions d’archives. Au total, les données de 863 412 utilisateurs de Digital Point étaient incluses dans la fuite.

Selon l’équipe, les informations rendues publiques sont les noms, les adresses électroniques et les identifiants en interne des utilisateurs.

En outre, des archives internes et des informations sur les publications des utilisateurs étaient stockées dans la base de données ouverte. En l’examinant, afin de savoir qui en était le propriétaire, les chercheurs sont tombés sur des ensembles de données concernant des membres du forum ayant signalé des messages, et la raison de ces signalements. Par exemple, on trouve des allégations de « mauvaises relations d’affaires », spam, ou encore d’autres raisons, certaines décrites comme semblant être « mesquines et personnelles ».

screenshot-2020-09-06-at-10-22-17.png

Risque d’exposition au bot Meow

En dehors des ramifications habituelles de sécurité du vol et du phishing des données des utilisateurs, la base de données aurait pu devenir l’une des nombreuses à succomber au bot Meow, un script automatisé qui a été responsable de la compromission de milliers de bases de données non sécurisées MongoDB et Elasticsearch en juillet. Une fois le script déployé, il remplace les données par des chiffres et le mot “meow”.

« L’un des dangers d’une base de données non protégée par mot de passe est qu’il s’agit d’une cible attendant d’être volée, chiffrée ou supprimée », explique l’équipe.

Jeremiah Fowler a envoyé un avis de divulgation responsable à Digital Point le 1er juillet, le jour même où la fuite a été découverte, au moyen d’une adresse électronique appropriée trouvée dans la base de données. L’alerte a été prise au sérieux et l’accès à la base de données a été révoqué dans les heures qui ont suivi.

Toutefois, le forum n’a pas communiqué avec les chercheurs et n’a pas répondu aux demandes de suivi.

Source : ZDNet.com

Leave a Reply