Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible
Le 04 juin 2020 à 09h06
1 min
Internet
Internet
La base de données MongoDB était géré par un sous-traitant, qui ne l’avait pas protégée par un mot de passe. Elle a été mise en ligne le 25 mai, répertoriée dans le moteur de recherche spécialisé Shodan le 27 mai et découverte par Bob Diachenko de Comparitech le 30 mai.
On y trouvait des détails sur 373 892 volontaires, plus d’un million de données sur des utilisateurs du site (email, nom et mot de passe « chiffré » selon le Service Civique cité par ZDNet) et « un répertoire de 1 913 contacts de haut niveau ».
Avec l’aide de Baptiste Robert (alias Elliot Alderson sur Twitter), ils sont remontés à la source et ont prévens le Service civique. Trois heures plus tard, l'accès était coupé. La plateforme affirme qu’« aucune intrusion malveillante ne s'est produite » et que l’incident a été porté à la connaissance de la CNIL.
Le 04 juin 2020 à 09h06
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/06/2020 à 10h29
À quand la même pour StopCovid à 300000€ par mois ?" />
Le 04/06/2020 à 11h18
C’est moi ou à chaque fois qu’un article cite MongDB, c’est pour faire part de fuite de données?
Vrai question :
C’est intrinsèquement du au système qui est pourri, ou il y que des boîtes de branques pour utiliser ça (parce que le système est pourri? ^^) ?
Edith : ortho et humour =D
Le 04/06/2020 à 11h26
Le 04/06/2020 à 12h05
@SKN: le 2/ m’sieur: MongoDB est une techno à la mode, kikoolol. Résultat, pas mal de Jean-Kévin qui n’y bite que dalle se mettent à en déployer en suivant un tuto trouvé sur un coin du web. L’étape 3 du tuto disait bien que fallait mettre un mot de passe, mais Jean-Kévin s’est dit qu’il le ferait plus tard et puis a oublié.
@bilbonsacquet: Yep, t’as plutôt raison. A la nuance près que, désormais, beaucoup d’instances de ces trucs tournent non plus en interne mais sur le cloud … et pareil, c’est relou à configurer l’isolation réseau sur le cloud, donc ce que Jean-Kévin fait, c’est tout ouvrir comme ça il est peinard !
Le 04/06/2020 à 12h06
Par défaut, la base n’est pas sécurisée, la documentation d’installation explique très bien comment sécuriser la base. Il faut vouloir le faire et prendre le temps de le faire. cela a un coût et implique que le développeur s’en préoccupe dès le départ.
Le 04/06/2020 à 13h56
Oui qu’on lui laisse le temps de lire la doc, parce que “le projet doit être mise en prod hier”, “avec le mdp vide ça fonctionne donc laisse comme ça, on n’a pas la temps pour ces bétises de sécurité”.
Le 04/06/2020 à 15h53
“La plateforme affirme qu’« aucune intrusion malveillante ne s’est produite »…”
En même temps, sans mot de passe, il doit être difficile de différencier une intrusion malveillante d’une bienveillante.
Le 05/06/2020 à 09h49
C’est que je me dis aussi, est-il vraiment possible de prouver techniquement une “non-instrusion” ?
Le 06/06/2020 à 08h47
MongoDB, ca faisait longtemps. Ils ont failli se faire dépasser par Elasticsearch