DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Digest de la Sécurité des Bases de Données – Décembre 2018

Veuillez jeter un œil aux plus grands incidents de sécurité des bases de données en décembre 2018.

Quora

Quora est devenue la dernière grande entreprise technologique à subir une brèche majeure de données. Ce mois-ci, il a été révélé que les informations d’environ 100 millions d’utilisateurs pourraient avoir été compromises.

Le site web Quora est un lieu extrêmement populaire pour obtenir des réponses à vos questions. Mais, malheureusement, une tierce partie malveillante a trouvé un moyen non autorisé d’accéder à ce site. Quora mène actuellement une enquête médico-légale sur la cause exacte de cet incident.

Les informations potentiellement divulguées peuvent inclure des informations de compte telles que les noms, les courriels et les mots de passe chiffrés, ainsi que des données provenant de réseaux sociaux comme Facebook et Twitter. De plus, les pirates ont également eu accès à l’activité des utilisateurs – questions posées, réponses données, commentaires, messages directs, votes positifs et négatifs.

Les utilisateurs concernés ont été informés et déconnectés. La société estime avoir identifié la cause principale de cet incident et pris des mesures pour résoudre le problème, bien que l’enquête soit toujours en cours et que Quora envisage des améliorations de la sécurité informatique.

120 Millions de Brésiliens Exposés

120 millions de Brésiliens ont vu leurs informations personnelles identifiables divulguées sur Internet. Cela est dû à une autre mauvaise configuration informatique.

Cet incident est lié au Cadastro de Pessoas Físicas (CPFs). Il s’agit de l’agence qui délivre des identifiants spéciaux à tous les citoyens et résidents payant des impôts. Plus de la moitié de la population du plus grand pays d’Amérique du Sud est affectée par cet incident.

Des chercheurs en sécurité informatique ont trouvé la base de données contenant ces informations exposées sur un serveur web Apache en mars, après une simple recherche sur Internet.

Après enquête, il a été découvert que quelqu’un avait renommé le fichier ‘index.html’ en ‘index.html_bkp’, révélant ainsi le contenu du répertoire. Toute personne connaissant le nom du fichier et naviguant vers celui-ci aurait un accès illimité à tous les dossiers et fichiers à l’intérieur.

L’agence a enfreint les règles de base de la sécurité informatique : elle n’aurait pas dû renommer le fichier principal index.html ou aurait dû interdire l’accès via la configuration .htaccess.

Les chercheurs s’attendent à ce que cette base de données soit bientôt mise en vente sur le Dark Web. Il est fortement recommandé que le gouvernement brésilien mène une enquête approfondie sur cet incident.

Boomoji

Une application chinoise populaire, Boomoji, qui compte environ 5,3 millions d’utilisateurs dans le monde, permet aux utilisateurs iOS et Android de créer des avatars 3D.

Cependant, les données personnelles de toute sa base de données ont été divulguées après que Boomoji a laissé 2 bases de données ElasticSearch non protégées sans mot de passe.

L’entreprise a distribué ses serveurs : celui desservant les utilisateurs internationaux était installé aux États-Unis, et l’autre, desservant les utilisateurs chinois, était basé à Hong Kong en raison des lois chinoises sur la sécurité des données. Ces 2 bases de données contenaient les noms d’utilisateur, le sexe, le pays, le type de téléphone, l’ID Boomoji unique, les écoles des utilisateurs. En plus de cela, les bases de données contenaient la géolocalisation d’environ 400 mille utilisateurs et les entrées du carnet d’adresses de chaque utilisateur ayant autorisé l’application à accéder à leurs contacts.

Comme certains utilisateurs ont autorisé l’accès à leur carnet d’adresses, le nombre total de personnes potentiellement affectées peut atteindre 125 millions. Ces personnes peuvent même ne pas savoir que cette application existe et ont pourtant vu leurs informations personnelles exposées. Et tout cela à cause de bases de données vulnérables.

Les pirates développent chaque jour leurs outils pour pirater et trouver des vulnérabilités. C’est pourquoi il est si important de garder toutes les informations sous votre responsabilité sous votre contrôle total. Et, bien sûr, laisser vos bases de données que vous gérez quelque part sans surveillance est totalement inapproprié.

Mises à jour de sécurité pour les bases de données

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2018-16868
https://nvd.nist.gov/vuln/detail/CVE-2018-16869
https://nvd.nist.gov/vuln/detail/CVE-2018-19439

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2018-19439
https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-14704
https://nvd.nist.gov/vuln/detail/CVE-2018-14703
https://nvd.nist.gov/vuln/detail/CVE-2018-14700
https://nvd.nist.gov/vuln/detail/CVE-2018-14696
https://nvd.nist.gov/vuln/detail/CVE-2018-14695

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-2497
https://nvd.nist.gov/vuln/detail/CVE-2018-2502

MS SQL Azure

https://nvd.nist.gov/vuln/detail/CVE-2018-8652

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1977

MongoDB

https://nvd.nist.gov/vuln/detail/CVE-2018-1784

Elasticsearch

https://nvd.nist.gov/vuln/detail/CVE-2018-17247
https://nvd.nist.gov/vuln/detail/CVE-2018-17244

Percona Server MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-19039

Suivant

Digest de la Sécurité des Bases de Données – Janvier 2019

Digest de la Sécurité des Bases de Données – Janvier 2019

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]