2,1 millions de dossiers clients violés dans une librairie en ligne mexicaine, données personnelles et d'achat volées
Des pirates ont piraté la Librería Porrúa, une libraire de longue date basée au Mexique, exposant ainsi au public des millions de dossiers de clients. Le chercheur en sécurité Bob Diachenko a collaboré avec Comparitech pour découvrir l'instance MongoDB accessible au public avant que la violation ne se produise, mais la société n'a pas réussi à la supprimer avant que les pirates informatiques n'y aient apparemment accès.
La base de données comprenait les enregistrements d’achats, les coordonnées des utilisateurs et d’autres données.
Des pirates ont piraté la base de données exposée avant sa fermeture
La base de données était accessible à deux adresses IP distinctes, ce qui la rendait encore plus facile à trouver. N'importe qui peut accéder à la base de données sans mot de passe ni autre authentification. Ni Comparitech ni Diachenko n'ont reçu de réponse de la Librería Porrúa au moment de la rédaction de cet article.
Voici ce qui s’est passé, étape par étape :
- 14 juillet 2019 : la base de données a été indexée pour la première fois par le moteur de recherche Shodan.io.
- 15 juillet 2019 : Diachenko découvre la base de données exposée et en informe immédiatement l'entreprise.
- 18 juillet 2019 : le contenu de la base de données a été effacé et remplacé par un message d'avertissement. Le message indiquaitdes pirates avaient volé les données et exigé une rançonêtre payé en bitcoin.
- 19 juillet 2019 : l'accès public aux bases de données originales (maintenant vides) et clonées a été désactivé.
- 29 juillet 2019 : Le formulaire de contact sur le site Web de la Librería Porrúa ne fonctionne pas correctement. Nous avons donc soumis une demande de commentaires sur ce rapport via Twitter.
- 30 juillet 2019 : Formulaire de contact soumis sur le site de la Librería Porrúa pour demander un commentaire.
La rançon était de 0,05 BTC, soit environ 500 $ au moment de la rédaction.
Il n’est pas clair si la Librería Porrúa a payé la rançon, mais même si c’était le cas, cela ne signifie pas que les informations contenues dans la base de données sont sécurisées. Les pirates pourraient toujours en avoir une copie stockée ailleurs.
Quelles informations ont été divulguées ?
Les données exposées comprenaient deux ensembles d’enregistrements : les enregistrements d’achat et les données personnelles des utilisateurs. Le premier comprend près de 1,2 million d’enregistrements, dont :
- Factures avec détails d'achat
- Identifiant du panier
- Informations de carte de paiement hachées
- Codes d'activation et jetons
- Nom et prénom
- Adresse e-mail
- Adresse de livraison
- Numéro de téléphone
Environ 958 000 enregistrements de données personnelles comprenaient :
- identité du client
- Nom et prénom
- Date de naissance
- Adresse e-mail
- Numéro de téléphone
- Jetons utilisateur
- Codes d'activation de la carte de réduction
- Dates d'activation des cartes de réduction
- Autre info
Même si nous savons combien d’enregistrements ont été divulgués, nous ne savons pas combien d’utilisateurs ont été touchés. Par exemple, un enregistrement d’achat et un enregistrement de données personnelles peuvent appartenir à la même personne.
Les codes et dates d’activation semblent concerner le programme de fidélité « Professeur Porrúa » de l’entreprise, qui offre une réduction de 15 % aux enseignants actifs accrédités dans les écoles publiques et privées.
À propos de Librairie Porrua
Librería Porrúa a débuté en tant que libraire et éditeur physique en 1910 et gère aujourd'hui plus de 60 bibliothèques commerciales dans tout le Mexique. L'entreprise basée à Mexico est spécialisée dans la littérature de langue espagnole. Sa vitrine numérique est un ajout relativement récent.
Les bases de données exposées menacent les utilisateurs passés et futurs
Diachenko, qui collabore avec Comparitech sur la recherche en matière de sécurité, explique les dangers d'exposer des bases de données telles que MongoDB ou NoSQL sans mot de passe ni autre authentification :
« J'ai déjà signalé que le manque d'authentification permettait l'installation de malwares ou de ransomwares sur les serveurs MongoDB. La configuration publique permet aux cybercriminels de gérer l'ensemble du système avec tous les privilèges administratifs. Une fois le malware en place, les criminels pourraient accéder à distance aux ressources du serveur et même lancer une exécution de code pour voler ou détruire complètement toutes les données enregistrées sur le serveur.
Les personnes dont les informations ont été exposées pourraient être exposées au spam, au phishing ciblé et à la fraude. Si vous avez créé un compte sur le site Web de la Librería Porrúa, soyez à l’affût de ces attaques.
Par exemple, les utilisateurs concernés peuvent recevoir des e-mails prétendant provenir de la Librería Porrúa avec un lien vers un faux site Web de la Librería Porrúa. Les utilisateurs peuvent être invités à saisir leurs informations de connexion sur le même faux site Web, donnant ainsi leurs mots de passe aux pirates.
Comment et pourquoi nous avons découvert cette brèche
Notre équipe de recherche en sécurité analyse le Web à la recherche de vulnérabilités et de fuites de données. Notre objectif est d’aider les organisations à résoudre ces problèmes et, ainsi, à rendre Internet plus sûr.
Bob Diachenko, qui a découvert la base de données exposée et la violation qui a suivi, utilise sa vaste expérience et ses connaissances en matière de cybersécurité pour trouver des données prétendument sécurisées qui pourraient avoir été exposées accidentellement ou intentionnellement. Lorsqu'une fuite est découverte, sa première priorité est de découvrir à qui appartiennent les données et d'alerter l'organisation concernée afin qu'elle puisse les sécuriser.
Nous étudions ensuite l'exposition plus en détail pour déterminer le contenu des données et à qui elles se rapportent. Nous divulguons nos résultats dans un souci de transparence et alertons les utilisateurs concernés afin qu'ils puissent prendre toute mesure nécessaire.
Rapports précédents
Nous avons récemment signalé plusieurs autres fuites de données, dont une impliquant le records de 7 millions d'élèves de la maternelle à la 12e année , le les informations personnelles de 188 millions de personnes, et 300 000 enregistrements exposés par l'échange de crypto-monnaie QuickBit . Vous pouvez également lire nos articles sur le les plus grandes violations de données de l'histoire et le États qui ont le plus de violations de données .