Digest de la Sécurité des Bases de Données – Mai 2018
Veuillez jeter un œil aux actualités sur la sécurité des bases de données en mai 2108.
Avancée Majeure dans la Protection des Données Personnelles – Introduction du GDPR
Le Règlement Général sur la Protection des Données a été introduit le 25 mai 2018 dans l’Union Européenne. Ces dernières années, nous avons assisté à d’énormes violations de données affectant des centaines de millions de personnes. Il n’est donc pas étonnant que les législateurs renforcent les exigences en matière de protection des données et introduisent de nouvelles réglementations et exigences.
La plupart des entreprises multinationales et, bien sûr, les entreprises de l’UE devraient être conformes au GDPR d’ici à la fin de mai 2018. Mais disons que vous êtes une entreprise basée aux États-Unis sans opérations directes dans l’UE. Ce règlement s’appliquera-t-il à vous ? Réfléchissez encore si votre réponse est “non”. La signification de “données personnelles” sous le GDPR s’étend plus loin que nous le comprenons aux États-Unis. Des éléments tels que le nom, les identifiants, les informations de localisation, etc. sont considérés comme des “informations personnelles”. Ces “informations personnelles” incluent même les adresses IP, les chaînes de cookies, les publications sur les réseaux sociaux, les contrats en ligne et les identifiants des appareils mobiles.
Maintenant, vous pourriez penser que l’Europe est loin et que vous n’avez pas d’opérations directes là-bas, n’est-ce pas ? OK, si vous êtes une entreprise américaine avec une présence sur Internet et que vous vendez ou expédiez des marchandises dans un pays de l’UE ou que vous acceptez simplement de l’argent européen pour vos produits ou services, le GDPR s’appliquera à votre entreprise.
Maintenant, parlons de la non-conformité au GDPR. Le prix est élevé. Pour non-conformité, l’amende peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’année financière précédente ou 20 millions d’euros (selon le montant le plus élevé) et 2% ou 10 millions d’euros (selon le montant le plus élevé) pour les infractions de moindre importance. Par exemple, si une entreprise ne signale pas une violation à un régulateur des données dans les 72 heures (ce qui est requis par l’Article 33 du GDPR), elle pourrait payer une amende de 2% de son chiffre d’affaires mondial ou 10 millions d’euros (selon le montant le plus élevé).
DataSunrise rend le processus de conformité au GDPR, qui est parfois un processus décourageant pour les entreprises, une question de quelques clics de souris.
L’Afrique du Sud a Fui
La cybercriminalité ne connaît pas de frontières. Utilisant Internet, les cybercriminels peuvent pirater presque n’importe quelle base de données même protégée, si la sécurité de la base de données est faible.
Les autorités sud-africaines ont été averties de nombreuses fois que leur pays pourrait être la prochaine cible des cyberattaques. Parmi les prochaines victimes potentielles de la cybercriminalité figurent l’Inde et les pays d’Amérique latine.
Cette fuite de données fait suite à une autre qui s’est produite il y a moins d’un an, résultant en la publication en ligne d’environ 60 millions de numéros d’identité sud-africains. Cette fois, nous parlons d’un million de Sud-Africains dont les données personnelles ont été divulguées en ligne. La base de données contenant ces informations a été trouvée sur un serveur accessible au public. La société sud-africaine responsable du traitement des paiements électroniques des amendes routières dans le pays pourrait être responsable de ce qui est jusqu’à présent la plus grande fuite de données de l’histoire de l’Afrique du Sud.
L’Application PumpUp Fuit 6 Millions de ses Utilisateurs
En mai 2018, un chercheur en sécurité a découvert un serveur backend sans mot de passe pour le protéger. Ce serveur est connecté à l’application de fitness PumpUp et donne un accès libre aux informations de santé saisies par les utilisateurs ainsi qu’aux photos et messages privés envoyés entre les utilisateurs. Dans certains cas, les informations contenaient des données de carte de crédit non chiffrées : numéro de carte, dates d’expiration et numéros de vérification de carte.
Le chercheur a ensuite contacté l’entreprise pour l’informer des découvertes. L’entreprise a fermé l’accès libre à son serveur backend.
On ne sait toujours pas combien de temps le serveur est resté sans protections et quelles informations pourraient avoir été volées.
Mises à Jour de Sécurité des Bases de Données
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2017-15533https://nvd.nist.gov/vuln/detail/CVE-2017-18268
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-6617https://nvd.nist.gov/vuln/detail/CVE-2016-10556
PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2018-1115IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1449https://nvd.nist.gov/vuln/detail/CVE-2016-10577
https://nvd.nist.gov/vuln/detail/CVE-2018-1565
https://nvd.nist.gov/vuln/detail/CVE-2018-1544
https://nvd.nist.gov/vuln/detail/CVE-2018-1515
https://nvd.nist.gov/vuln/detail/CVE-2018-1488
https://nvd.nist.gov/vuln/detail/CVE-2018-1459
https://nvd.nist.gov/vuln/detail/CVE-2018-1452
https://nvd.nist.gov/vuln/detail/CVE-2018-1451
https://nvd.nist.gov/vuln/detail/CVE-2018-1450
MongoDB
https://nvd.nist.gov/vuln/detail/CVE-2016-10572Greenplum Database
https://nvd.nist.gov/vuln/detail/CVE-2018-1280MariaDB
https://nvd.nist.gov/vuln/detail/CVE-2016-10554https://nvd.nist.gov/vuln/detail/CVE-2016-10553
https://nvd.nist.gov/vuln/detail/CVE-2016-10550
https://nvd.nist.gov/vuln/detail/CVE-2016-10556
