Selon nos confrères de ZDNet, un serveur contenant une base de données de 60 Go environ (MongoDB) avec des informations personnelles des lecteurs de l'hebdomadaire était librement accessible.
Dans le lot, on retrouve nom, prénom, adresse e-mail, photos de profil, des intitulés de publication et des informations complémentaires associées au profil des utilisateurs. Aucun mot de passe ou donnée bancaire n'était par contre stocké sur ce serveur.
Toujours selon ZDNet, « même après que le magazine a été averti de cette fuite, la base de données est restée exposée sans protection pendant un mois ». Mickey Dimov, un expert en sécurité, est à l'origine de cette découverte. Il a contacté L'Express en janvier, visiblement sans réponse, avant de transmettre les éléments à nos confrères qui ont également contacté l'hebdomadaire.
« Je ne voulais pas que ces données soient effacées car je craignais que leur site web et leur infrastructure y soient intimement connectés » explique Mickey Dimov. Il ajoute qu'il « y avait beaucoup de collections qui semblaient être essentielles à la première page [et] au système d'alerte qu'elles utilisaient pour diffuser les contenus ».
De son côté, L'Express a confirmé la faille à ZDNet, affirmant avoir « été victime d’une intrusion illégale dans l’un de ses serveurs », mais précisant que ce dernier était « inactif » et « autrefois utilisé à des fins de test ». Mais ce ne serait pas le cas puisque la dernière entrée aurait été créée le 20 février 2018.
Nos confrères notent que « L'Express n'a, à notre connaissance, fait aucun effort pour informer ses lecteurs ou les autorités ».
Commentaires (17)
#1
MongoDB encore une fois. Depuis le temps qu’on en parle, les dba pourraient faire un petit effort…
« même après que le magazine ait été averti de cette fuite, la base de données est restée exposée sans protection pendant un mois »
… ok ils en ont rien à foutre !
Nos confrères notent que « L’Express n’a, à notre connaissance, fait aucun effort pour informer ses lecteurs ou les autorités ».
J’espère que la justice sera saisie !
#2
Et là je croise les doigts que la CNIL saisisse le dossier et leur tape fortement sur les doigts
" />
Parce que ce foutage de gueule de la part de l’Express…
#3
Oui, je me demande si on peut faire un signalement CNIL meme quand on est pas concerné par le traitement?
#4
Ils sont pas très RGPD ready chez l’Express
" />
#5
De son côté, L’Express a confirmé la faille à ZDNet, affirmant avoir « été victime d’une intrusion illégale dans l’un de ses serveurs »
J’espère qu’ils ne parlent pas de l’expert en sécurité et qu’ils auraient derrière la tête l’envie de porter plainte ?
#6
#7
#8
Le mec est quand même très gentil
" />
> Après que les criminels aient commencé à cibler la base de données,
> Dimov a fait de son mieux pour la protéger en dupliquant et en
> restaurant les tables, empêchant ainsi toute perte de données. À partir
> de l’historique de la table, il apparaît que les attaquants ont
> probablement essayé d’obtenir une rançon pour la base de données plus
> d’une douzaine de fois.
J’aurais pas été si patient
#9
En fait je me rend compte en lisant mon commentaire, que le sens n’est pas tout à fait ce que je voulais réellement dire : je veux que ce soit les utilisateurs qui portent plaintes…
L’Express n’a rien foutu pour arranger le problème et les données ont continuées de fuir : ce n’est pas normal.
#10
Ils peuvent toujours les attendre au tournant pour mai, quand la RGPD sera effective :)
#11
Une raison de moins de s’abonner à l’Express…
" />
On arrive donc à -1 raison de s’abonner de mon côté
#12
c’est dingue le nombre de serveurs de test connectés à internet avec des données de prod fraîches dedans…
" />
#13
#14
#15
alors l’anonymisation j’y ai un peu goûté, ça peut vite être une énorme usine à gaz en fonction de la base.
mais dans le cas présent à priori non. ^^
#16