L’entreprise d’achats groupés a accidentellement rendu publiques les données de tous ses utilisateurs indiens. La base de données de sa filiale locale Sosasta.com (acquise en janvier 2011) a de plus été indexée par Google. Elle concerne 300000 personnes.
C’est le consultant en sécurité australien Daniel Grzelak qui a découvert cette publication jeudi dernier, alors qu’il recherchait sur le moteur de recherche des fichiers disponibles en ligne, issus de bases de données SQL comprenant les mots clés “password” et “gmail” : “J’ai fait défiler, et défiler encore la liste, mais je n’arrivais pas à la fin du fichier. Là, j’ai réalisé à quel point il était important“, explique-t-il.
Il a d’ailleurs pu constater que Groupon/Sosasta stockait les mots de passe de ses abonnés en clair (associés aux adresses e-mail correspondantes).
Il a prévenu Andrew Mason, le patron de Groupon, qui a répondu personnellement en moins de 24 heures, et a fait supprimer toutes ces données du Web. Une enquête a parallèlement été ouverte en interne, pour déterminer comment l’intégralité de la base de données de Sosasta avait pu se retrouver publique.
Groupon est actuellement en train de prévenir tous les utilisateurs de Sosasta du problème et leur demande de modifier leur mot de passe sur tous les sites où ils l’utilisent.
Des incidents de ce type sont courants sur Internet d’après Daniel Grzelak. D’après lui, des milliers de bases de données seraient indexées par Google, mais celle-ci est “la plus grosse (qu’il ait) jamais trouvée“.
Sosasta possède sa propre plateforme, et ses propres serveurs. Il n’est donc pas connecté aux autres sites de Groupon, donc les utilisateurs des autres pays n’ont en conséquence pas à s’inquiéter.
Dans un communiqué officiel, la direction du site d’achats groupés promet des améliorations des mesures de sécurité de sa filiale indienne, pour empêcher qu’un tel problème ne se reproduise.
Source : L’Informaticien