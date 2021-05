Paleohacks, un site Web basé à Los Angeles qui sert de référentiel d’articles tels que des recettes et des plans de repas, ainsi que la gestion d’un magasin de commerce électronique, aurait exposé les données de quelque 70000 utilisateurs à une fraude et à un piratage potentiels, grâce à une fuite de données signalée par chercheurs de vpnMentor.

Selon l’analyse de vpnMentor, cet incident provenait d’un «compte de stockage cloud que Paleohacks utilisait pour stocker les données privées et les détails personnels de plus de 70 000 clients et utilisateurs. L’entreprise n’avait pas réussi à mettre en œuvre les protocoles de base de sécurité des données. En conséquence, toute personne dont les données avaient été collectées par Paleohacks courait un risque de fraude, de vol d’identité, de piratage et bien plus encore. »

Les détails de ce que vpnMentor dit avoir découvert: Paleohacks utilisait apparemment un compartiment Amazon Web Services S3 pour héberger les données des clients. Des centaines de milliers d’entreprises à travers le monde les utilisent, mais une chose importante à savoir à leur sujet est qu’AWS demande aux clients de configurer manuellement des protocoles de confidentialité des données lors de la création du compte de compartiment S3. «Paleohacks», selon vpnMentor, «n’a réussi à installer aucun protocole de confidentialité sur son compartiment S3, laissant tout le contenu exposé à quiconque possédant les compétences de piratage les plus élémentaires.»

Ce bucket abritait quelque 6 000 fichiers contenant des données sur près de 70 000 utilisateurs. Ces fichiers couvraient les années 2015 à 2020 et incluaient des données utilisateur telles que des adresses e-mail, des adresses IP, des dates de naissance, des biographies, etc. Voici plus d’informations de la part des chercheurs expliquant pourquoi Paleohacks laisse les données client dans l’état où elles l’ont fait est un tel problème:

«En combinant les données PIII d’un client avec les enregistrements de ses achats et commandes sur le site Web de Paleohacks, une entreprise criminelle pourrait créer des e-mails de phishing très efficaces se faisant passer pour l’entreprise et inciter les clients à fournir des données supplémentaires et des détails de carte de crédit. Ils pourraient également être incités à cliquer sur un lien contenant des logiciels malveillants, des logiciels espions ou une autre forme de logiciel malveillant. » De plus, ce problème pourrait permettre aux pirates d’accéder au compte d’un utilisateur via des jetons de réinitialisation de mot de passe.

Les chercheurs de vpnMentor ont déclaré avoir identifié ce problème dans le processus de réalisation d’un «énorme projet de cartographie Web». Selon leur explication, leurs chercheurs déployaient des scanners Web à grande échelle à la recherche de référentiels de données non sécurisés, et lorsqu’ils rencontraient de tels ensembles de données, ils les examinaient ensuite pour détecter toute fuite de données. Conclusion: «Notre équipe a pu accéder au compartiment S3 de Paleohacks car il était totalement non sécurisé et non chiffré.»

Paleohacks n’a pas encore répondu publiquement à ce problème. Les clients sont encouragés à contacter l’entreprise pour savoir comment elle protège leurs données.

