Les données stockées dans le nuage par un contractant Sprint, contenant des centaines de milliers de factures de téléphone de citoyens américains, ont été laissées exposées et potentiellement consultables par quiconque pendant une période indéterminée, a-t-elle émergé.
Comme le rapporte TechCrunch, le cache de données – conservé dans un compartiment AWS, essentiellement un espace de stockage de la plate-forme cloud d'Amazon – contenait plus de 260 000 documents, dont la plupart étaient des factures de téléphone de clients d'AT & T, Verizon et T-Mobile remontant à quatre ans dans certains cas.
Les factures contiennent une foule d'informations confidentielles, comme vous pouvez l'imaginer, notamment des noms, des adresses et des historiques d'appels. Outre les factures, d'autres documents sensibles, tels que des relevés bancaires, et même une capture d'écran des noms d'utilisateur et des mots de passe en ligne des comptes clients.
Ces seaux doivent évidemment être privés, mais peuvent parfois être mal configurés, le contenu étant laissé accidentellement ouvert au public potentiel. Dans ce cas, c'était Fidus Information Security qui a découvert les données exposées.
Le groupe de sécurité basé sur les tests d'intrusion basé au Royaume-Uni – qui sonde et évalue les réseaux de l'entreprise en lançant des attaques simulées – a découvert le seau et a signalé le problème à Amazon, qui a rapidement comblé le trou, comme on pouvait s'y attendre.
Sommaire
Il y a un trou dans le seau, chère Liza…
Amazon n'a pas révélé le nom du propriétaire du compartiment, mais en examinant un fichier puis en effectuant un travail de détective, TechCrunch a déterminé que le propriétaire était Deardorff Communications, l'agence de marketing chargée des promotions pour Sprint.
Ceci correspond aux documents de marque Sprint trouvés dans la mémoire cache de fichiers qui indiquaient que toutes ces factures de téléphone avaient été collectées dans le cadre d'une offre permettant aux personnes en question de passer de leur fournisseur de réseau actuel à Sprint – Sprint payant la résiliation anticipée. frais pour permettre à l'abonné de se déplacer. Il s'agit d'une incitation commune dans le secteur de la téléphonie mobile.
Le président de Deardorff Communications, Jeff Deardorff, a confirmé à TechCrunch que sa société de marketing était effectivement propriétaire du seau en question et que l'accès public à celui-ci était maintenant fermé.
Il a commenté: "J'ai lancé une enquête interne pour déterminer la cause fondamentale de ce problème, et nous examinons également nos politiques et procédures pour nous assurer qu'une telle situation ne se reproduira plus."
Cependant, il ne serait pas amené à indiquer si les personnes à qui les factures appartiendraient seraient informées de l’exposition potentielle de leurs données sensibles.
Avec quoi dois-je le réparer?
Amazon a fait de nombreuses révélations lors de sa conférence AWS re: Invent 2019, et curieusement, l'une d'entre elles a été le lancement d'Access Analyzer, un nouvel outil de sécurité pour les clients utilisant le stockage en nuage S3.
Cet outil surveille les configurations incorrectes des compartiments et des données potentiellement exposées, les signale et les rend faciles à bloquer en un seul clic.
Les seaux qui fuient ont été un gros problème pour un grand nombre d’organisations au cours des années, causant de nombreuses violations de données. Dans l’espoir, cet utilitaire de sécurité contribuera à rendre ce type d’incidents beaucoup plus rare.
