Un nouveau rapport de sécurité suggère que le fabricant audio Sennheiser pourrait avoir exposé des données client.

Une équipe de chercheurs a découvert un ancien compte cloud rempli de données client appartenant à Sennheiser. Le compte n’a pas été utilisé depuis 2018, mais plus de 28 000 clients Sennheiser ont vu leurs données fuir. Les données peuvent être anciennes, mais elles contiennent des informations personnelles et privées qui sont précieuses pour les criminels en ligne.

Les chercheurs Noam Rotem et Ran Locar de VPNMentor ont contacté Sennheiser pour divulguer la découverte le 28 octobre 2021. Selon l’équipe, Sennheiser utilisait un compartiment Amazon Web Services (AWS) S3 pour stocker les données collectées auprès du public.

Sennheiser n’a mis en œuvre aucune mesure de sécurité sur ce compartiment S3, laissant le contenu exposé et facilement accessible à toute personne disposant d’un navigateur Web. Les chercheurs ont pu identifier Sennheiser du propriétaire des données grâce aux fichiers portant le nom de l’entreprise et les employés de Sennheiser répertoriés dans l’infrastructure du bucket.

« Une fois que nous avons confirmé que Sennheiser était responsable de la violation de données, nous avons contacté l’entreprise pour la notifier et lui proposer notre aide. Sennheiser a répondu quelques jours plus tard et nous a demandé de donner des détails sur nos conclusions. Nous avons divulgué l’URL au serveur non sécurisé et fourni plus de détails sur ce qu’elle contenait. Même s’il n’a plus eu de nouvelles de l’entreprise, le serveur a été sécurisé quelques heures plus tard.

Quelles données ont pu être exposées par Sennheiser ?

Les chercheurs de VPNMentor affirment que la base de données contenait 55 Go de données provenant de 28 000 clients. Les données semblent avoir été collectées entre 2015 et 2018. On ne sait pas comment les données ont été collectées, mais de nombreuses informations personnellement identifiables ont été exposées, notamment :

Noms completsAdresses e-mailNuméros de téléphoneAdresse des domicilesNoms des entreprises demandant des échantillonsNombre d’employés

L’étendue de l’exposition est mondiale, mais la majorité des clients concernés se trouvent en Amérique du Nord et en Europe. Le compartiment AWS mal configuré a peut-être aidé les criminels à identifier des cibles pour le vol d’identité, la fraude fiscale, la fraude à l’assurance et les campagnes de phishing pour des données plus sensibles.

VPNMentor a divulgué la violation à Sennheiser, qui doit informer les clients d’une violation de données ou d’une exposition de données en vertu des exigences GDPR de l’UE.