Les informations sensibles de millions de Brésiliens fuitent

Au commencement, le Bucket Amazon S3 de WSpot, mal configuré, a été laissé en accès libre. Il fournit une solution de gestion Wi-Fi qui permet aux entreprises de contrôler diverses fonctions de leur réseau et de leur routeur sur site. La violation des infos de WSpot a compromis plus de 226 000 fichiers totalisants 10 GB de données. Parmi les journaux de ces fichiers de journalisation figure un ensemble d’indications sensibles et personnelles relatives aux clients de WSpot et à leurs visiteurs.

L’incident est révélé par Safety Detectives. Amazon n’administre pas le serveur de WSpot et n’est pas responsable de sa configuration. L’entreprise fournit uniquement la plateforme pour le stockage des données et le serveur Amazon S3 Bucket a été laissé sans aucune procédure d’authentification en place. « Nous avons découvert deux types de fichiers différents exposés sur la base de données ouverte — les journaux SMS et les rapports des invités. Il peut y avoir plus d’informations exposées qui n’étaient pas visibles dans notre échantillon de données », assure Safety Detectives. Ainsi, 84 Mo de documents contenant des journaux de SMS ont été trouvés. L’estimation octroie un nombre total d’entrées de ce type à 280 000.

WSpot est basé à Campinas, au Brésil, et compte quelques clients de renom, dont Sicredi, Unimed et Pizza Hut. (Crédits : Safety Detectives)

Un minimum de 550 Mo de rapports au format « .csv » a également été exposé lors de cette violation de données, indique le site. Ce qui représenterait un total estimé à 2,5 millions d’entrées de journal. Les rapports des visiteurs exhibés révèlent plusieurs types différents de DPI des visiteurs. Les informations contiennent des renseignements telles que :

  • Noms complets
  • Adresses e-mail
  • Numéros de téléphone
  • Genre
  • Dates de naissance
  • Adresses et codes postaux
  • Numéros de CPF

L’équipement incriminé était actif, et en cours de mise à jour au moment de la découverte. L’équipe de SafetyDetectives avait trouvé le serveur le 2 septembre 2021. Après avoir découvert la base de données de WSpot, une divulgation responsable de la violation de données leur a été envoyée cinq jours plus tard. Une réponse de l’organisme renseignait de la sécurisation de la violation le 8 septembre 2021. Là où le bat blesse est que la base de données a laissé échapper les adresses électroniques et les numéros de téléphone de Brésiliens. Des acteurs malveillants pourraient contacter des personnes pour les cibler avec des escroqueries et des fraudes. Les attaquants pourraient lancer des malversations populaires en utilisant les informations glanées pour paraître dignes de confiance.

WSpot conteste les informations révélées

Dans une note officielle, la société reconnaît la fuite, mais affirme qu’il a affecté une petite partie des utilisateurs de réseaux Wi-Fi. Le groupe conteste les informations sur la fuite de données. Tout d’abord, il est expliqué que l’entreprise ne saisit pas les données relatives aux mouvements financiers. Il précise également qu’aucun mot de passe d’enregistrement, aucune carte de crédit ou autre renseignement de paiement n’étaient non protégés, de même que l’accès à des plateformes tierces et l’utilisation personnelle.

« Il convient de noter que le problème n’a touché que 5 % de notre clientèle totale, dont aucune information commerciale et/ou sensible n’a été compromise », relate WSpot dans SempreUpdate. (Crédits : Safety Detectives)

WSpot informe qu’il est conscient et reconnaît l’existence d’un incident d’exposition irrégulière des données d’enregistrement d’une petite partie des utilisateurs des réseaux Wi-Fi de certains de nos clients. La finalisation des processus de correction ayant eu lieu le 18 novembre, WSpot a engagé des spécialistes de la sécurité de l’information spécialement pour une enquête complète sur les données. En outre, « il n’a pas été confirmé que celles-ci données exposées ont, en fait, atteint le domaine des personnes et des groupes malveillants, ajuste la firme. […] les serveurs de WSpot restent intacts et n’ont pas été piratés par des agents tiers malveillants. En ce sens, notre plateforme reste conforme aux normes de sécurité les plus strictes. » Plus simplement, s’agissant d’une fuite et non d’une intrusion les serveurs de la plateforme WSpot restent, par conséquent en conformité aux normes de sécurité les plus strictes.

Comme au Brésil, chaque entreprise a l’obligation de respecter les normes en vigueur dans le pays, en faisant notamment référence à la Loi générale de protection des données personnelles (RGPD en France), ainsi que le devoir de transparence envers nos clients et nos partenaires. (Crédits : LhcCoutinho/Pixabay)

Piqûre de rappel

Il est des réflexes que tout un chacun devrait respecter :

  • Ne fournissez pas vos informations personnelles à tout va. Votre jardin secret doit le rester, même si vous êtes un personnage public
  • Attention à votre surf, même si le site affiche HTTPS comme le symbole de verrou fermé
  • Soyez méfiant lorsque vous recevez un courriel vous demandant de fournir des informations personnelles (numéro de sécurité sociale, CNI, etc.). Le services des impôts ont déjà vos coordonnées. Il ne vous enverra pas de courriel pour soit disant vous rembourser. Il le fera, un point c’est tout.
  • Créez des passphrases uniques (ex : J’aime_les-5Licornes+lait-£), et mettez les à jour régulièrement. Un mot de passe par site, comme une brosse à dents par personne (logique, non ?!?). Le gestionnaire de mots de passe peut vous aider
  • Ne cliquez pas aveuglément sur des liens dans des courriels, SMS comme n’importe où sur Internet. Une modification malveillante de police de caractère, sur un site, peut faire passer un « i » pour un « l », par exemple.
  • Modifiez les paramètres de confidentialité de vos médias sociaux, comme celui de vos espaces numériques, et de configurez vos logiciels. Les outils, comme les smartphones, consoles de jeu… sont bavards. Personne n’est obligé de connaître votre secret, à savoir que vous adorez les licornes bleues
  • Attention au Wi-Fi public, comme son nom l’indique il n’est pas privé. Aucune authentification nécessaire pour établir une connexion réseau. Les pirates informatiques peuvent utiliser une connexion wifi non sécurisée pour diffuser des programmes malveillants. Ils ont aussi la possibilité de se placer entre vous et le point de connexion. Au lieu de communiquer directement avec le point d’accès, vous envoyez vos informations (e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise) aux pirates, qui, ensuite, les relaient. Une fois que les pirates disposent de ces renseignements, ils peuvent, à leur gré, accéder à vos systèmes en votre nom.
  • Informez-vous sur la protection des données et les mesures à prendre pour éviter les attaques de phishing et logiciels malveillants, comme ici

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

2 réflexions sur “Les informations sensibles de millions de Brésiliens fuitent

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *