Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis
15 millions de clients impactés pour T-Mobile
Le 02 octobre 2015 à 08h30
3 min
Internet
Internet
Deux sociétés viennent d'annoncer que des données personnelles avaient été dérobées : Patreon et T-Mobile. Dans le premier cas, un serveur de test était accessible à tout le monde, tandis que dans le second, un prestataire a laissé filer des informations sur pas moins de 15 millions de clients.
Patreon est une plateforme de financement participatif qui permet à des personnes de chercher des mécènes pour les financer au long terme ou pour un projet en particulier. Problème, le service avait laissé accessible à tout le monde un serveur de test qui contenait une image de sa base de données utilisée sur son serveur de production.
Chez Patreon, un serveur de test avec une base de données bien remplie
Du coup, des personnes ont pu accéder et récupérer des informations comme le nom, les adresses email, les messages ainsi que des adresses de livraison et de facturation des utilisateurs. La société se veut néanmoins rassurante : « Nous ne stockons pas les numéros de carte de crédit sur nos serveurs et aucun numéro de carte de crédit n’a été compromis. Bien qu'accessibles, tous les mots de passe, numéros de sécurité sociale et formulaire de prélèvement restent protégés par un chiffrement RSA sur 2048 bits » via bcrypt, ajoute Patreon.
Aucune action n'est donc nécessaire du côté de l'utilisateur, mais la société recommande tout de même de changer de mot de passe pour plus de sécurité. Des données chiffrées avec une clé RSA sur 2048 bits ne devraient pas en effet être facilement décryptables dans l'immédiat, à condition tout de même que le chiffrement soit fait proprement et sans biais. Dans tous les cas, le serveur de test a été coupé et la société annonce qu'elle a engagé une société externe afin de mener un audit de sécurité pour éviter que cela ne se reproduise.
Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis
Dans le même temps, aux États-Unis, l'opérateur T-Mobile fait face à une fuite de données concernant près de 15 millions de clients. Une brèche dans la sécurité d'Experian, « un fournisseur qui traite les demandes de crédits », a ainsi permis de récupérer des informations non chiffrées comme le nom, adresse et la date de naissance.
Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d'identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d'informations bancaires comme des numéros de carte ou de compte.
Le PDG de T-Mobile ajoute qu'il va mener un examen approfondi de « sa relation avec Experian » et que les clients impactés par cette fuite de données peuvent souscrire gratuitement, et pour deux ans, à ProtectMyID Elite, un service proposé par... Experian.
Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis
-
Chez Patreon, un serveur de test avec une base de données bien remplie
-
Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/10/2015 à 08h50
Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d’identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d’informations bancaires comme des numéros de carte ou de compte.
Tant mieux, ce serait con d’avoir à faire opposition maintenant alors qu’il va falloir refaire entièrement tous ses papiers et cartes quand l’identité des clients aura été usurpée à l’aide des infos personnelles dérobées.
Le 02/10/2015 à 09h31
Double faute pour Patreon :
Ok c’est facile de leur taper dessus à postériori, mais quelle bourde !
Le 02/10/2015 à 09h31
Vos numéros de cartes de crédit n’ont pas été dérobés… donc ce n’est pas grave, passez votre chemin.
Et l’usurpation d’identité, c’est pour les séries TV?
Le 02/10/2015 à 09h32
C’est vrai que souvent pour les tests, la galère c’est de “fabriquer” les données nécessaires… Bon ici, la solution a été “trop” facile.
Le 02/10/2015 à 10h00
Personne ne dit ca, vous combattez des moulins
Le 02/10/2015 à 10h04
En fait, j’exagère un peu, l’anonymisaton des données peut être optionnelle si le risque de fuite est maitrisé.
J’ai travaillé avec des bases de données de production “obsolètes” (comprendre an-1 voir an-2) non anonymisées, cependant l’environnement était sécurisé.
Actuellement, je travaille avec un collègue chargé de fournir des données à des centaines de projets pour leurs tests, n’ayant pas la maitrise de l’environnement, l’anonymisation est indispensable dans ce cas.
Le 02/10/2015 à 10h46
Ils vont kickstarter la mise à niveau de la secu ? " />
Le 02/10/2015 à 11h55
Question concernant Patreon, pourquoi il n’y a que les mots de passe et numéro de sécurité sociale qui soient chiffrés et hashés? Pourquoi pas le reste des infos?
OK je ne me ferai pas usurper mon numéro de sécu, mais si je me fais spammer à mort et de manière nominative ça peut aussi être embêtant!
Le 02/10/2015 à 12h49
les méthodes de hashage pour les mots de passe sont souvent destructices :
Un algorithme de hashage permet d’obtenir un unique résultat pour une entrée unique et il n’existe normalement pas d’algorithme permettant de reconstituer/décoder l’information à partir du hash.
C’est pour cela que les hackers utilisent souvent des tables de correspondances pour chaque d’algorithme de hashage qui permettent de retouver les mots de passe basiques à partir du hash .
Mais, pour Patreon, le mdp est aussi crypté avant d’être hashé ce qui rend théoriquement impossible l’utilisation de ces tables, même avec un mot de passe bidon, sauf si leur clé de cryptage est compromise.
Dans la plupart des mécanismes d’authentification, on compare le résultat du hash d’une chaine donnée avec le hash du mot de passe stocké pour valider ou refuser l’autentification. Pareillement pour les numéros de sécurité social qui sont des données servant aussi à authentifier les personnes.
Quand les données doivent être exploitées par un programme, elle ne peuvent être détruites par un Hashage. On peu peut-être les crypter si le SGBD le permet mais cela doit se faire à la conception du système, en considérant les contraintes/limitations de volumes de base et surtout de performances, etc.
C’est pour cette dernière raison que, le plus souvent, ce sont les échanges entre hosts qui sont cryptés plus que les données.
Dans le cas de T-mobile, leurs clées et certificats ont “peut-être” fuités…
Le 02/10/2015 à 12h59
Experian c’est pas la première fois qu’ils me pète les couilles eux…
Le 02/10/2015 à 14h56
Merci beaucoup pour ces éclaircissements " />
Le 03/10/2015 à 14h51
non rien en fait