Digest de la Sécurité des Bases de Données – Octobre 2018
Veuillez consulter les plus grands incidents de sécurité des bases de données d’octobre 2018.
FitMetrics
Une entreprise leader de logiciels de fitness a peut-être exposé les comptes de millions de ses clients contenant des informations personnelles. Cela est arrivé en raison d’une défaillance de la protection de leur base de données cloud.
Les chercheurs indiquent qu’ils ont trouvé la base de données Elasticsearch exposée, hébergée sur AWS, en utilisant une technique très simple. Le stockage cloud possède 119 Go de données appartenant à la société FitMetrics. Les chercheurs ont également trouvé une note de rançon attachée à la base de données, bien qu’il semble que les tentatives de piratage aient échoué. Et maintenant la base de données reste exposée et non protégée. Les données exposées incluaient nom, sexe, adresse e-mail, date de naissance, téléphone domicile et travail, taille, poids, et bien plus. Le nombre total de dossiers affectés est de plusieurs millions. La base de données a été sécurisée à nouveau par la société cinq jours plus tard.
Cathay Pacific
Une autre compagnie aérienne, à savoir Cathay Pacific, a été victime d’une importante violation de données. Il a été rapporté que les données de 9,4 millions de passagers auraient pu être volées. La compagnie aérienne a déclaré qu’elle avait trouvé des traces d’accès non autorisé à son système informatique contenant de nombreuses informations personnelles sensibles, principalement de ses clients.
Les données personnelles exposées contiennent les éléments suivants : nom du passager ; nationalité ; date de naissance ; numéro de téléphone ; email ; adresse ; numéro de passeport ; numéro d’adhésion au programme de fidélité ; remarques du service client et informations de voyage historiques. La compagnie aérienne affirme qu’aucune information de carte bancaire n’a été divulguée. On ne sait pas encore comment l’attaque de piratage a été menée, mais la société contacte tous les passagers affectés et leur fournit des informations sur les mesures qu’ils peuvent prendre pour se protéger.
Les experts en sécurité informatique disent qu’après une attaque de piratage réussie, il y aura d’autres tentatives de pirater à nouveau le système et elles pourraient réussir à nouveau.
Pocket iNet
L’équipe de gestion des risques cybernétiques UpGuard a trouvé un serveur AWS S3 exposé en ligne. Le serveur appartient au fournisseur de services Internet Pocket iNet de l’État de Washington. La société a laissé son serveur sans mot de passe et pratiquement n’importe qui pouvait voir ce qu’il y avait dans leurs bases de données. Les informations exposées comprenaient 73 gigaoctets de données téléchargées. Les données comprenaient des mots de passe et d’autres informations sensibles, allant de feuilles de calcul à des images et des diagrammes. Il a fallu environ une semaine à Pocket iNet pour sécuriser les données exposées.
Les fournisseurs de services Internet faisant partie de l’infrastructure critique des États-Unis sont d’un intérêt particulier pour les groupes de menaces des États-nations hostiles. La mauvaise configuration d’AWS par Pocket iNet est signalée comme étant la cause de cette exposition de données. Le problème de la mauvaise configuration d’AWS, malheureusement, n’est pas rare et cela ne dépend pas de la taille d’une entreprise.
Mises à jour de sécurité pour les bases de données
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-3277https://nvd.nist.gov/vuln/detail/CVE-2018-3278
https://nvd.nist.gov/vuln/detail/CVE-2018-3279
https://nvd.nist.gov/vuln/detail/CVE-2018-3280
https://nvd.nist.gov/vuln/detail/CVE-2018-3281
https://nvd.nist.gov/vuln/detail/CVE-2018-3282
https://nvd.nist.gov/vuln/detail/CVE-2018-3283
https://nvd.nist.gov/vuln/detail/CVE-2018-3284
https://nvd.nist.gov/vuln/detail/CVE-2018-3285
https://nvd.nist.gov/vuln/detail/CVE-2018-3286
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-3251https://nvd.nist.gov/vuln/detail/CVE-2018-3174
https://nvd.nist.gov/vuln/detail/CVE-2018-3156
https://nvd.nist.gov/vuln/detail/CVE-2018-3143
https://nvd.nist.gov/vuln/detail/CVE-2018-3133
https://nvd.nist.gov/vuln/detail/CVE-2018-8533
https://nvd.nist.gov/vuln/detail/CVE-2018-8532
https://nvd.nist.gov/vuln/detail/CVE-2018-8527
Amazon Athena
https://nvd.nist.gov/vuln/detail/CVE-2016-10152Google Cloud SQL
https://nvd.nist.gov/vuln/detail/CVE-2018-1819https://nvd.nist.gov/vuln/detail/CVE-2018-15755
https://nvd.nist.gov/vuln/detail/CVE-2018-0404
Apache Impala
https://nvd.nist.gov/vuln/detail/CVE-2018-11792https://nvd.nist.gov/vuln/detail/CVE-2018-11785
https://nvd.nist.gov/vuln/detail/CVE-2017-9792
