Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite de données de près de 700 000 clients de L’Express

Fuite de données de près de 700 000 clients de L'Express

Le 02 mars 2018 à 09h26

Selon nos confrères de ZDNet, un serveur contenant une base de données de 60 Go environ (MongoDB) avec des informations personnelles des lecteurs de l'hebdomadaire était librement accessible.

Dans le lot, on retrouve nom, prénom, adresse e-mail, photos de profil, des intitulés de publication et des informations complémentaires associées au profil des utilisateurs. Aucun mot de passe ou donnée bancaire n'était par contre stocké sur ce serveur.

Toujours selon ZDNet, « même après que le magazine a été averti de cette fuite, la base de données est restée exposée sans protection pendant un mois ». Mickey Dimov, un expert en sécurité, est à l'origine de cette découverte. Il a contacté L'Express en janvier, visiblement sans réponse, avant de transmettre les éléments à nos confrères qui ont également contacté l'hebdomadaire.

« Je ne voulais pas que ces données soient effacées car je craignais que leur site web et leur infrastructure y soient intimement connectés » explique Mickey Dimov. Il ajoute qu'il « y avait beaucoup de collections qui semblaient être essentielles à la première page [et] au système d'alerte qu'elles utilisaient pour diffuser les contenus ».

De son côté, L'Express a confirmé la faille à ZDNet, affirmant avoir « été victime d’une intrusion illégale dans l’un de ses serveurs », mais précisant que ce dernier était « inactif » et « autrefois utilisé à des fins de test ». Mais ce ne serait pas le cas puisque la dernière entrée aurait été créée le 20 février 2018.

Nos confrères notent que « L'Express n'a, à notre connaissance, fait aucun effort pour informer ses lecteurs ou les autorités ».

Le 02 mars 2018 à 09h26

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

MongoDB encore une fois. Depuis le temps qu’on en parle, les dba pourraient faire un petit effort…





« même après que le magazine ait été averti de cette fuite, la base de données est restée exposée sans protection pendant un mois »





… ok ils en ont rien à foutre !





Nos confrères notent que « L’Express n’a, à notre connaissance, fait aucun effort pour informer ses lecteurs ou les autorités ».





J’espère que la justice sera saisie !

votre avatar

Et là je croise les doigts que la CNIL saisisse le dossier et leur tape fortement sur les doigts <img data-src=" />

Parce que ce foutage de gueule de la part de l’Express…

votre avatar

Oui, je me demande si on peut faire un signalement CNIL meme quand on est pas concerné par le traitement?

votre avatar

Ils sont pas très RGPD ready chez l’Express <img data-src=" />

votre avatar



De son côté, L’Express a confirmé la faille à ZDNet, affirmant avoir « été victime d’une intrusion illégale dans l’un de ses serveurs »



J’espère qu’ils ne parlent pas de l’expert en sécurité et qu’ils auraient derrière la tête l’envie de porter plainte ?

votre avatar







CryoGen a écrit :



J’espère que la justice sera saisie !





L’Express n’étant pas OIV, ils ne sont pas tenu d’informer qui que ce soit. Ils peuvent mentir sur l’origine de la faille (non, ce n’est pas une intrusion quand la porte est grande ouverte), sur le contenu (non, ce n’était pas des donnée anonymisé de test, mais des données réels) et la portée (les données était récentes de quelque semaines, et non “ancienne”).



Mentir c’est la vie, si chacun de vos mots n’est pas un mensonge, c’est que vous avez fait une erreur. Et après certains s’étonnent de la défiance croissante envers les journalistes (cf les tribunes sur le Monde, tous les semaines y a un papier sur untel qui s’en offusque !)…



Bref, même joueur joue encore !


votre avatar







Furanku a écrit :



Et là je croise les doigts que la CNIL saisisse le dossier et leur tape fortement sur les doigts <img data-src=" />

Parce que ce foutage de gueule de la part de l’Express…





La CNIL, taper sur les doigts ? Comment ? Leurs sanctions vont du name & shame dont l’Express se fout royalement, et d’une amende inférieur au cout d’une sécurité correcte. La CNIL ne peut rien faire.


votre avatar

Le mec est quand même très gentil

&nbsp;

&gt; Après que les criminels aient commencé à cibler la base de données,

&gt; Dimov a fait de son mieux pour la protéger en dupliquant et en

&gt; restaurant les tables, empêchant ainsi toute perte de données. À partir

&gt; de l’historique de la table, il apparaît que les attaquants ont

&gt; probablement essayé d’obtenir une rançon pour la base de données plus

&gt; d’une douzaine de fois.



J’aurais pas été si patient <img data-src=" />

votre avatar

En fait je me rend compte en lisant mon commentaire, que le sens n’est pas tout à fait ce que je voulais réellement dire : je veux que ce soit les utilisateurs qui portent plaintes…



L’Express n’a rien foutu pour arranger le problème et les données ont continuées de fuir : ce n’est pas normal.

votre avatar

Ils peuvent toujours les attendre au tournant pour mai, quand la RGPD sera effective :)

votre avatar

Une raison de moins de s’abonner à l’Express…



On arrive donc à -1 raison de s’abonner de mon côté <img data-src=" />

votre avatar

c’est dingue le nombre de serveurs de test connectés à internet avec des données de prod fraîches dedans…<img data-src=" />

votre avatar







CryoGen a écrit :



En fait je me rend compte en lisant mon commentaire, que le sens n’est pas tout à fait ce que je voulais réellement dire : je veux que ce soit les utilisateurs qui portent plaintes…



L’Express n’a rien foutu pour arranger le problème et les données ont continuées de fuir : ce n’est pas normal.





J’avais bien saisi, mais le fait est qu’ils ne peuvent pas vraiment être attaqué. La seule loi qu’ils pourraient enfreindre c’est la loi informatique et liberté, et y a pas grand chose qui s’applique… Tu peux saisir la CNIL, mais y a pas d’infraction à leur assigner toi-même.



Le fait est que le droit français protège mal les données personnelles, et encore plus quand il s’agit d’un défaut de sécurisation. C’est un peu la loose niveau droit (même le cas particulier du P2P pirate est bourré de trou), et plus encore jurisprudence (y a pas grand chose et le peu qu’il y a est tout sauf fiable, cf le “maintient dans un système d’information” quand tu investigues une faille dans l’affaire bluetouf).







Furanku a écrit :



Ils peuvent toujours les attendre au tournant pour mai, quand la RGPD sera effective :)





Espérons, je n’ai pas regardé les implications précises retranscritent dans le droit français, mais j’ai comme l’impression qu’on va être déçu, comme d’hab. Car en l’état, tous les GAFAM devrait se faire bloquer leurs IPs sur le champs si on voulait un application stricte. On pari combien qu’on dira rien à aucun d’entre-eux, et qu’on se contentera de faire les gros yeux aux autres, sans grosse amende ?


votre avatar







hellmut a écrit :



c’est dingue le nombre de serveurs de test connectés à internet avec des données de prod fraîches dedans…<img data-src=" />





C’est la norme.



Quand tu veux des données de tests, l’anonymisation c’est un perte de temps. Quand tu veux partager ces données, les mots de passe c’est une perte de temps. Quand tu soustraites, garder ça dans ton intranet avec une gestion contrôlé des accès via VPN, c’est une perte de temps.



Aucun des garde-fous, mêmes les plus évidents, ne sont respectés, et souvent comme ça.


votre avatar

alors l’anonymisation j’y ai un peu goûté, ça peut vite être une énorme usine à gaz en fonction de la base.

mais dans le cas présent à priori non. ^^

votre avatar







hellmut a écrit :



alors l’anonymisation j’y ai un peu goûté, ça peut vite être une énorme usine à gaz en fonction de la base. 



mais dans le cas présent à priori non. ^^









C'est aussi vrai pour les autres points, dès que le cas est compliqué (grosse boite, sous-traitants imbriqués...) ça vire à l'usine à gaz. Mais ça n'enlève rien à l'évidence de ces mesures, et l'absurdité qu'il faut pour les ignorer. Sauf que comme tout le monde le fait, ça passe.




Du coup personne ne fait rien, sur aucun des points, et on arrive à une situation ubuesque où des choses qui ont normalement tout le temps de multiples couches de sécurité, n’en ont jamais aucune. Le monde à l’envers :p


Fuite de données de près de 700 000 clients de L’Express

Fermer