C’est la découverte des chercheurs Noam Rotem et Ran Locar. La base de données était en accès libre sur Internet, sans mot de passe pour la protéger et bien sûr sans aucun chiffrement.
Elle appartient à la société TrueDialog, spécialisée dans les envois massifs de SMS pour les entreprises et universités ayant besoin de contacter de grands groupes de personnes. Ses services permettent également aux contactés de répondre et ainsi d’engager un dialogue avec la structure ayant émis le SMS.
La base de données contient tout ce que l’on peut attendre d’un tel stock de données (numéros de téléphones, contenus des messages et horodatage), avec en plus des informations sur les applications utilisées par les universités pour leurs finances, les messages marketing d’entreprises émettant des coupons et même des offres d’emplois.
Malheureusement pour TrueDialog, la base contenait aussi des informations beaucoup plus sensibles, comme les messages de sécurité liés au compte, tout particulièrement le code pour la double authentification. Puisque la base était ouverte aux quatre vents, toute personne l’ayant trouvée était potentiellement en mesure de s’en servir pour mener des attaques.
Nos confrères de TechCrunch se sont penchés sur la base et ont trouvé rapidement des codes de sécurité pour des services médicaux, des codes de récupération des sites ou encore des mots de passe temporaires à la suite de réinitialisations.
TechCrunch ajoute que la table place les messages dans l’ordre, permettant d’obtenir immédiatement le contexte d’une conversation. Dans une seule table, il est possible de trouver des millions de messages, mais nos confrères notent que beaucoup sont des SMS d’utilisateurs tentant de faire fonctionner l’opt-out, donc de se désinscrire du service.
TrueDialog a été contactée et a rapidement coupé l’accès. Cependant, TechCrunch n’a obtenu aucune réponse à ses questions, notamment celle de savoir si l’entreprise comptait informer les utilisateurs de la brèche.
Le cas n’est malheureusement qu’un exemple de plus dans une série de fuites de données qui ne semble devoir jamais s’arrêter. De trop nombreuses entreprises ne semblent pas considérer la sécurité des données de la clientèle comme primordiale.
Commentaires (5)
#1
He oui c’est le rapport risque/cout, tant que ça coute de l’argent mais que l’on ne s’est pas fait choppé, on ne sécurise pas.
#2
comme les messages de sécurité liés au compte, tout particulièrement le code pour la double authentification
Voilà pourquoi je préfère les “authenticator” plutôt que les codes SMS ou MAIL…
#3
#4
RGPD, Article 33.1, ils ont obligation de le déclarer aux autorité responsable pour chaque pays où ils intervenaient, pour le France, c’est la CNIL qui est compétente. Délais de 72h après avoir découvert l’incident.
RGPD, Article 34.1, ils ont obligation de le communiquer à toutes les personnes concernées a partir du moment où “[la fuite) est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique …” . Toutes les personnes concernées devraient déjà être averties.
Ne pas s’y soumettre peut coûter plusieurs millions d’euro.
#5
Bon bah niquel !
" />
le mail, le lien pour changer le code, et le code. Le tout dispo en ligne àkinenveut ! C’est parfait !
Je me disais aussi que le service support de ma boutique avait de moins en moins de taf…