Des chercheurs en cybersécurité ont découvert un compartiment Amazon S3 mal configuré qui exposait des informations personnellement identifiables (PII) de plus de trois millions de personnes âgées américaines.

Découvert par des chercheurs de WizCase, le compartiment de stockage en nuage appartenait à SeniorAdvisor, qui se décrit comme le plus grand site Web d’évaluation et d’évaluation des soins et services aux personnes âgées aux États-Unis et au Canada.

Le compartiment mal configuré contenait plus de 180 Go de données, exposant les noms et les coordonnées de plus de trois millions de personnes.

« Les compartiments Amazon S3 mal configurés sont extrêmement fréquents et cela montre que les propriétaires de sites ne sont clairement pas conscients de l’ampleur de cette vulnérabilité, en particulier lorsque les données ne sont pas cryptées, ce qui indique des résultats potentiellement catastrophiques. Ces compartiments S3 permettent aux gens de les configurer, mais notoirement, les gens affaiblissent ou même contournent la sécurité intégrée pour diverses raisons, les rendant vulnérables », explique Jake Moore, spécialiste de la cybersécurité chez ESET.

WizCase a contacté SeniorAdvisor et la société a depuis sécurisé le seau.

Mûr pour la fraude

Décrivant leur découverte, les chercheurs notent que le compartiment S3 était accessible à tous sur Internet et que les informations qu’il contenait n’étaient pas cryptées.

Selon leur analyse, la majorité des données exposées étaient sous forme de prospects et comprenaient les coordonnées de clients potentiels qui, selon WizCase, ont été ciblés via diverses campagnes par e-mail ou par téléphone.

Les informations énuméraient également les dates de contact des utilisateurs, qui allaient de 2002 à 2013, bien que les fichiers eux-mêmes aient été horodatés en 2017.

En plus des informations personnelles, WizCase a également découvert environ deux mille avis qui ont été nettoyés des détails des utilisateurs. Cependant, toutes les critiques avaient un identifiant principal, qui pouvait être utilisé pour extraire les détails nettoyés des utilisateurs sans trop d’effort.

Citant un rapport de la FTC, WizCase affirme que les personnes âgées de 60 à 69 ans ont perdu 600 $ par arnaque en moyenne, et que le chiffre est passé à 1700 $ par arnaque en moyenne pour les personnes de 80 à 89 ans.

En particulier, le rapport a révélé que les personnes âgées étaient plus susceptibles de tomber dans une grande variété d’escroqueries, notamment les escroqueries au support technique, les escroqueries aux prix/concours, les escroqueries aux achats en ligne et les escroqueries par téléphone ; tout cela pourrait être perpétré en utilisant les informations personnelles dans la base de données divulguée.