58 % des organisations ne reconnaissent pas les divulgations de violations de données
Les chercheurs de Comparitech analysent régulièrement Internet à la recherche de bases de données exposées. Lorsque nous découvrons de telles expositions, notre objectif est de divulguer les incidents aux parties responsables afin qu'elles puissent prendre les mesures nécessaires pour sécuriser les données divulguées. En fin de compte, nous voulons minimiser l’impact sur les utilisateurs finaux dont les informations ont été divulguées.
Après avoir suivi les temps de réponse aux alertes, nous avons découvert que plus de la moitié des entreprises n’envoient pas de réponse aux notifications d’exposition des données. Selon les chercheurs de Comparitech, sur 502 incidents de données étudiés,seules 210 organisations ont répondu à nos alertes. La plupart d’entre eux ont mis un jour à répondre, mais d’autres ont attendu jusqu’à 17 jours avant de répondre.
Les expositions étudiées résultaient de bases de données non sécurisées, laissées ouvertes au public. Les bases de données vulnérables peuvent permettre à des parties non autorisées d'accéder aux données, entraînant des violations de données qui mettent en péril la confidentialité et la sécurité des personnes dont les informations y sont stockées.
Les détails conservés dans certaines des bases de données que nous avons découvertes incluent les identifiants de connexion au compte (noms d'utilisateur et mots de passe), des informations personnelles telles que le nom, la date de naissance, l'adresse, le numéro de téléphone et le numéro de sécurité sociale (SSN), des informations médicales, des données bancaires, et plus.
Étude sur l’état de la divulgation des violations de données
Dès qu'une fuite est découverte, nous prenons des mesures pour identifier le propriétaire de la base de données et l'alerter de l'exposition. Dans la mesure du possible, nous enquêtons également sur le contenu des bases de données divulguées et déterminons quels détails ont été exposés et à qui les informations se rapportent. Idéalement, les propriétaires de bases de données réagissent rapidement à nos alertes en fermant l'accès public aux informations et en informant toutes les parties concernées.
Dans certains cas, le temps de réponse est très rapide. Nous recevons souvent un accusé de réception nous remerciant pour une divulgation et l'assurance que la base de données est sécurisée (que nous vérifions ensuite). Cependant, dans de nombreux cas, nous recevons une réponse tardive, voire aucune.
Pour étudier l’état des divulgations de violations de données, nous avons suivi les temps de réponse aux alertes au cours des 12 derniers mois.23 % (115) des organisations ont accusé réception de nos alertes dans les 24 heures.12 pour cent (58) ont mis deux jours pour répondre et deux pour cent (10) ont envoyé un accusé de réception dans un délai de trois jours. Cinq pour cent (27) supplémentaires ont mis entre quatre et 17 jours pour répondre à la divulgation. 58 pour cent (292) n’ont pas du tout répondu à notre alerte.
Dans les cas où aucun accusé de réception n’a été reçu, nous avons continué à assurer le suivi. Nous avons constaté que toutes les bases de données ont finalement été sécurisées ou détruites par une attaque de robot (plus d'informations ci-dessous). Les raisons de l’absence de reconnaissance ne sont pas claires, mais dans certains cas, les entreprises peuvent tenter d’éviter d’admettre une violation afin de « faire taire » l’incident. Dans d’autres cas, notamment ceux où nous avons observé des attaques de robots, il semble que nos alertes aient été ignorées.
La grande majorité des bases de données exposées que nous avons découvertes étaient des bases de données Elasticsearch (182) et MongoDB (229).Ce sont les deux types de bases de données les plus populaires utilisés pour gérer les données NoSQL, il n'est donc pas surprenant qu'ils figurent en grande partie dans notre ensemble de données. Bien que ces options offrent de solides fonctionnalités de sécurité, des erreurs de configuration peuvent les exposer involontairement. D'autres types d'applications assez courants découverts au cours de nos recherches incluent Kafka (13), Jenkins (11), Zeppelin (13) et Zookeeper (12).
Pourquoi une action rapide en réponse aux fuites de données est importante
Alors, un jour ou deux, est-ce vraiment important ? Oui.
Selon nos recherches, le temps de réaction est crucial. Dans une étude antérieure, nous avons installé un pot de miel consistant en une simulation de base de données Elasticsearch exposée. Les données divulguées ont été accessibles par les attaquants dans un délai de huit heures.
Nous l'avons laissé exposé pendant environ 10 jours, etil a été attaqué 175 fois au cours de cette période, en moyenne 18 fois par jour. En bref, un temps de réponse rapide peut réduire considérablement le risque d’exposition de données sensibles.
Gardez à l’esprit que le temps de réponse n’indique pas depuis combien de temps les données ont été exposées, car elles auraient pu être librement accessibles avant que nos chercheurs ne les découvrent. Les résultats de notre expérience Honeypot ont indiqué que les attaquants recherchent activement ces expositions.
Une façon pour les attaquants de trouver des bases de données exposées consiste à surveiller les moteurs de recherche de l'Internet des objets (IoT) tels que Shodan et Binary Edge. En effet, nous avons constaté que le jour où le plus grand nombre d’attaques s’est produit était le jour même où notre pot de miel était indexé sur Shodan. Cependant, dans cette étude,les données ont été consultées des dizaines de fois avant que la base de données n'apparaisse sur l'un ou l'autre de ces moteurs de recherche. Cela implique que les attaquants sont proactifs et utilisent leurs propres outils d’analyse pour trouver les bases de données vulnérables, et ne s’appuient pas uniquement sur les moteurs de recherche IoT.
Une fois que les acteurs malveillants ont mis la main sur les données exposées, ils peuvent les utiliser à diverses fins néfastes. Certains utiliseront les informations directement dans des cybercrimes tels que stratagèmes de phishing , fraude, vol d’identité, extorsion, etc. D’autres publieront des informations à vendre sur des marchés clandestins tels que ceux trouvés sur le darknet. Par exemple, les détails de la carte de crédit peut rapporter entre 5 et 35 $ par ensemble sur le dark web, et les données « fullz » (qui incluent le nom, la date de naissance, l'adresse, le numéro de téléphone, le SSN, etc.) peuvent rapporter au criminel entre 14 et 60 $ par ensemble.
Outre le vol de données, les bases de données sont soumises à d’autres types d’attaques. Par exemple, lors de notre expérience de pot de miel, notre base de données a été attaquée par un robot malveillant qui a supprimé le contenu de la base de données et demandé le paiement d'une rançon. D’autres attaques observées par l’équipe concernaient le cryptojacking, le vol d’informations d’identification et les modifications de configuration. Une autre expérience de pot de miel géré par les chercheurs de Comparitech illustre davantage les types de requêtes malveillantes envoyées à des serveurs non sécurisés.
Lois concernant la divulgation publique des violations de données
Il peut être alarmant de constater que des centaines de violations de données ont été découvertes par nos seuls chercheurs au cours des 12 derniers mois. Et vous vous demandez peut-être dans combien de ces fuites vos propres données ont été impliquées. Cela nous amène à la divulgation publique des violations. Dans de nombreux cas, nous créons un rapport public détaillant une fuite que nous avons découverte, afin d’alerter les personnes concernées.Mais quelle est la responsabilité de l’organisation concernée en matière de divulgation ?
Nous examinons ici certaines des lois en vigueur conçues pour tenir les entreprises responsables de la divulgation publique des violations et de l'alerte des utilisateurs finaux. Notez que cela ne constitue pas un avis juridique et nous vous encourageons à rechercher des informations supplémentaires auprès de sources officielles.
NOUS
Aux États-Unis, chaque État a ses propres lois concernant la divulgation des violations de données. D’une manière générale, la plupart suivent l’exemple de la Californie qui fut le premier État à adopter une telle loi. En vertu de cette loi et d'autres lois similaires,les entreprises sont généralement tenues de divulguer par écrit une violation de données aux parties concernées, immédiatement après la découverte de la brèche.
Les violations doivent également être signalées au procureur général de l'État, mais les critères de signalement varient. Habituellement, les violations d'une certaine ampleur (par exemple, celles qui touchent plus de 500 ou 1 000 personnes) doivent être signalées. Selon l'État, les violations ne doivent être signalées que s'il existe une probabilité qu'une personne non autorisée ait accédé aux informations et que la violation soit susceptible de causer un préjudice substantiel.
UE
En vertu du Règlement Général sur la Protection des Données (RGPD), en général, les violations de données impliquant informations personnelles doit être signalé à l’autorité compétente dans les 72 heures suivant la découverte. Comme le souligne le Bureau du commissaire à l’information du Royaume-Uni (ICO) : « Si la violation est susceptible d’entraîner un risque élevé de porter atteinte aux droits et libertés des personnes, vous devez également en informer ces personnes sans délai injustifié. »
Canada
En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les violations doivent être signalé au commissaire à la protection de la vie privée du Canada si une évaluation par l'organisation concernée indique que la violation entraîne un risque réel de préjudice important (RROSH) pour un individu.Les personnes touchées par la violation doivent être directement informées(sauf dans certains cas où la notification indirecte est autorisée ) dès que possible après la découverte de la violation.
Australie
Les entreprises australiennes sont soumises au programme Notifiable Data Breaches. Organisations et agences disposent de « 30 jours pour évaluer si une violation de données est susceptible d’entraîner un préjudice grave ». En cas de violation grave de données,l'organisation concernée doit le signaler au commissaire australien à l'information.et alerter les personnes concernées par e-mail, appel téléphonique ou SMS.
