Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible

Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible

Par Sébastien Gavois

Le 04 Juin 2020 à 09h06
Internet
1 min 9

Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible

La base de données MongoDB était géré par un sous-traitant, qui ne l’avait pas protégée par un mot de passe. Elle a été mise en ligne le 25 mai, répertoriée dans le moteur de recherche spécialisé Shodan le 27 mai et découverte par Bob Diachenko de Comparitech le 30 mai.

On y trouvait des détails sur 373 892 volontaires, plus d’un million de données sur des utilisateurs du site (email, nom et mot de passe « chiffré » selon le Service Civique cité par ZDNet) et « un répertoire de 1 913 contacts de haut niveau ».

Avec l’aide de Baptiste Robert (alias Elliot Alderson sur Twitter), ils sont remontés à la source et ont prévens le Service civique. Trois heures plus tard, l'accès était coupé. La plateforme affirme qu’« aucune intrusion malveillante ne s'est produite » et que l’incident a été porté à la connaissance de la CNIL.

Commentaires (9)


Jeanprofite
Le 04/06/2020 à 10h29

À quand la même pour StopCovid à 300000€ par mois ?<img data-src=" />


SKN Abonné
Le 04/06/2020 à 11h18

C’est moi ou à chaque fois qu’un article cite MongDB, c’est pour faire part de fuite de données?



Vrai question :

C’est intrinsèquement du au système qui est pourri, ou il y que des boîtes de branques pour utiliser ça (parce que le système est pourri? ^^) ?



Edith : ortho et humour =D


bilbonsacquet Abonné
Le 04/06/2020 à 11h26







SKN a écrit :



C’est moi ou à chaque fois qu’un article cite MongDB, c’est pour faire part de fuite de données?





Tu peux ajouter Elastic Search & d’autres outils, le problème étant que beaucoup sont fait pour tourner en “interne” et donc la sécurité par défaut est soit basse, soit inexistante. Pour Elastic, il faut un module payant très cher ou des alternatives gratuites, mais cela oblige à s’en préoccuper…



La sécurité coute de l’argent, donc ça fait ça d’économisé tant que “pas vu, pas pris…”



GégéLaCrapule
Le 04/06/2020 à 12h05

@SKN: le 2/ m’sieur: MongoDB est une techno à la mode, kikoolol. Résultat, pas mal de Jean-Kévin qui n’y bite que dalle se mettent à en déployer en suivant un tuto trouvé sur un coin du web. L’étape 3 du tuto disait bien que fallait mettre un mot de passe, mais Jean-Kévin s’est dit qu’il le ferait plus tard et puis a oublié.



@bilbonsacquet: Yep, t’as plutôt raison. A la nuance près que, désormais, beaucoup d’instances de ces trucs tournent non plus en interne mais sur le cloud … et pareil, c’est relou à configurer l’isolation réseau sur le cloud, donc ce que Jean-Kévin fait, c’est tout ouvrir comme ça il est peinard !


spidermoon
Le 04/06/2020 à 12h06

Par défaut, la base n’est pas sécurisée, la documentation d’installation explique très bien comment sécuriser la base. Il faut vouloir le faire et prendre le temps de le faire. cela a un coût et implique que le développeur s’en préoccupe dès le départ.


Jarodd Abonné
Le 04/06/2020 à 13h56

Oui qu’on lui laisse le temps de lire la doc, parce que “le projet doit être mise en prod hier”, “avec le mdp vide ça fonctionne donc laisse comme ça, on n’a pas la temps pour ces bétises de sécurité”.


Winderly Abonné
Le 04/06/2020 à 15h53

“La plateforme affirme qu’« aucune intrusion malveillante ne s’est produite »…”

En même temps, sans mot de passe, il doit être difficile de différencier une intrusion malveillante d’une bienveillante.


Gorom Abonné
Le 05/06/2020 à 09h49

C’est que je me dis aussi, est-il vraiment possible de prouver techniquement une “non-instrusion” ?


jayc4
Le 06/06/2020 à 08h47

MongoDB, ca faisait longtemps. Ils ont failli se faire dépasser par Elasticsearch


Fermer