Fuite de 340 millions de données personnelles chez Exactis, le commentaire de Forcepoint

1
103

Exactis, une entreprise de marketing et d’agrégation de données basée en Floride, a involontairement publié sa base de données contenant environ 340 millions d’enregistrements individuels sur un serveur accessible au public (pour comparaison – la population américaine était de 325,7 millions en 2017).

Analyse Forcepoint – Sur les 340 millions de documents qui ont fuité, 110 millions d’entre eux étaient liés à des entreprises. Et bien que les renseignements personnels potentiellement rendus publics ne comprennent pas de renseignements financiers ou de numéros de sécurité sociale, ils contiennent des numéros de téléphone, des adresses postales ou électroniques ainsi que d’autres informations très personnelles sur chaque individu. Ces informations concernent les centres d’intérêts et les habitudes, le nombre, l’âge et le sexe des enfants de l’individu. A ce jour, Exactis a sécurisé le serveur en question, mais n’a fait aucun commentaire sur cette vulnérabilité.

Nous vous prions de bien vouloir trouver ci-dessous le commentaire de Nicolas Fischbach, CTO de Forcepoint :

« Les premiers éléments sur la fuite de données d’Exactis sont alarmants. Cette affaire ne concerne pas les informations qui sont habituellement visées comme les numéros de carte de crédit et de sécurité sociale ; en revanche, les 340 millions de données comprennent plus de 400 paramètres d’informations personnelles telles que des renseignements sur la religion, les habitudes d’achat ou même le fait de posséder un animal de compagnie. L’ampleur de la fuite est d’autant plus grande que la majeure partie de la population est persuadée que ce genre d’informations n’est jamais rendues public.

Ces données hautement sensibles pourraient être exploitées par des acteurs malveillants pour réaliser différents types d’attaques. Par exemple, si un hacker combinait ces informations avec celles des données compromises d’Equifax, il pourrait lancer des opérations spéciales d’attaques intelligentes. C’est également un atout énorme pour les criminels qui utilisent l’usurpation d’identité comme outil de phishing. Si un hacker voulait faire preuve d’imagination, il pourrait utiliser les données pour deviner les mots de passe et les questions d’authentification secondaires telles que : « Quel était le nom de votre premier chien ? » De plus, comme 110 millions de ces dossiers sont des données d’entreprises. Les criminels pourraient les utiliser pour des campagnes de spear-phishing en envoyant des messages fortement personnalisés visant l’exfiltration des données sensibles.

En fin de compte, il s’agit d’un énième exemple d’utilisateurs qui ne suivent pas les meilleures pratiques en matière de sécurité. Dans le cas de Cambridge Analytica, les hackers devaient ” voler ” ce type de données émanant de profils Facebook, mais dans le cas d’Exactis, les données étaient accessibles au public sur un serveur avec une authentification faible ou nulle. Cela souligne encore davantage la nécessité pour les entreprises de se concentrer sur la manière dont leurs employés, leurs clients ou leurs fournisseurs interagissent avec leurs données. Les entreprises devraient avoir un aperçu des activités à risque et réfléchir à la manière dont des vulnérabilités de ce type pourraient être atténuées ou évitées ».

Les commentaires sont fermés.