Digest de la Sécurité des Bases de Données – Juin 2018
Veuillez consulter les plus grands incidents de sécurité des bases de données en juin 2018.
Exactis
Exactis est une entreprise de marketing et d’agrégation de données dont vous n’avez probablement jamais entendu parler. Mais soyez sûr que cette société en sait beaucoup sur vous. Un chercheur en sécurité a découvert que la base de données de cette entreprise avait été laissée non protégée sur un serveur accessible au public. Cette base de données compte environ 340 millions d’enregistrements. La plupart d’entre eux sont des enregistrements de consommateurs.
Heureusement, les données de la base de données Exactis ne contenaient ni SSN ni informations sur les cartes bancaires. Mais elle contenait d’autres types d’informations personnellement identifiables telles que les téléphones, les adresses domiciliaires et les courriels. Ces informations peuvent être facilement utilisées pour un vol d’identité.
Et vous serez surpris de la quantité d’informations qu’Exactis connaît sur vous. Chaque enregistrement de consommateur était décrit à l’aide de plus de 400 variables. Ainsi, l’entreprise connaît les passe-temps des gens, leurs vues religieuses et politiques, leur statut marital, leurs animaux de compagnie (le cas échéant), leurs habitudes d’achat, etc.
Ce qui est vraiment surprenant, c’est que ces informations personnelles étaient là, facilement piratables !
Ticketfly
Ticketfly est une entreprise qui nous vend des billets pour différents événements. Il est devenu connu au début de juin qu’un pirate informatique avait pris le contrôle du site web de l’entreprise en demandant un paiement en bitcoin pour le libérer et partager les détails sur la vulnérabilité du site web. Cependant, la direction de l’entreprise a refusé de conclure ce type d’accord et le pirate anonyme a publié les données des utilisateurs sur Internet. Après cela, Ticketfly a mis son site web hors ligne en tant que mesure de sécurité.
Il a été rapporté que cette violation de données pourrait avoir facilement exposé les données de 26 millions de clients de Ticketfly. Les données incluent des courriels, des adresses domiciliaires et de facturation, des numéros de téléphone, etc. Les informations des cartes bancaires et les mots de passe des clients de Ticketfly ne sont pas considérés comme ayant été compromis, mais on ne peut jamais être sûr.
Cette violation de données de Ticketfly et la fermeture subséquente du site web ont laissé les promoteurs d’événements, les clubs de musique et de comédie sans une image claire du nombre de billets vendus, ce qui perturbe évidemment leur activité.
Dixons Carphone
Dixons Carphone est un détaillant multinational d’appareils électriques et de télécommunications et une entreprise de services dont le siège est à Londres. Plus tôt ce mois-ci, il a été dévoilé que l’entreprise avait été piratée. Des informations sur près de 6 millions de cartes bancaires ont été divulguées. Le(s) pirate(s) ont également mis la main sur des noms, des adresses courriel et des identifiants.
Cet incident fait suite à la violation de 2015 pour laquelle l’entreprise a été condamnée à une amende de 400 000 £ et maintenant les autorités examinent de très près pourquoi cela se reproduit et pourquoi aucune mesure de précaution contre les fuites de données n’a été prise. Dixons Carphone a eu de la chance que cet incident se produise avant l’introduction du RGPD qui promet des amendes beaucoup plus élevées pour des accidents de perte de données comme celui-ci.
Mises à jour de la sécurité des bases de données
SAP HANA
https://nvd.nist.gov/vuln/detail/CVE-2018-2424https://nvd.nist.gov/vuln/detail/CVE-2018-2425