8 millions de dossiers d'achats au Royaume-Uni exposés sur le Web et les informations personnelles des clients ont été divulguées

Un fournisseur de logiciels utilisé par les petits détaillants de l'UE a exposé une base de données de près de 8 millions de dossiers de ventes sur le Web, sans mot de passe ni aucune autre authentification requise pour y accéder. Les documents contenaient des relevés de ventes, notammentnoms des clients, adresses e-mail, adresses de livraison, achats et les quatre derniers chiffres des numéros de carte de crédit, entre autres informations. N’importe qui pouvait trouver et accéder aux données.

L'application du fournisseur a extrait les enregistrements de ventes des API du marché et du système de paiement comme celle deAmazon Royaume-Uni, Shopify, PayPal et Stripepour agréger les données de ventes des détaillants et calculer les taxes sur la valeur ajoutée pour différents pays de l’UE. Pour le moment, nous ne connaissons pas le nombre exact de détaillants ou de clients concernés.

L'équipe de recherche en sécurité de Comparitech dirigée par Bob Diachenko a découvert le serveur Amazon Web Services exposé contenant la base de données MongoDB le 3 février 2020.

Diachenko a pris des mesures pour divulguer de manière responsable l'exposition des données le plus rapidement possible, mais d'autres parties non autorisées auraient pu accéder aux informations entre-temps. Les données pourraient être utilisées par de mauvais acteurs pour hameçonner ou arnaquer les clients avec des messages ciblés.

Un porte-parole d'Amazon a répondu à la demande de commentaires de Comparitech, affirmant que les autorités compétentes avaient été informées de l'incident et qu'aucun mot de passe ni information de paiement complète n'était inclus dans l'ensemble de données :

« Nous avons été informés d'un problème avec un développeur tiers (qui travaille avec un certain nombre de vendeurs Amazon), qui semble avoir détenu une base de données contenant des informations provenant de plusieurs sociétés différentes, dont Amazon. La base de données a été disponible sur Internet pendant une très courte période. Dès que nous en avons été informés, nous nous sommes assurés que le développeur tiers prenait des mesures immédiates pour supprimer la base de données et sécuriser les données. La sécurité des systèmes d’Amazon n’a en aucun cas été compromise.

Comparitech a également contacté PayPal, Stripe et Shopify, mais aucun n'a fait de commentaire officiel sur l'incident.

Chronologie de l'exposition

Après avoir découvert la base de données MongoDB mal configurée, il n'était pas immédiatement clair à qui elle appartenait. Diachenko a d'abord informé Amazon, qui hébergeait le serveur et l'adresse IP sur lesquels les données étaient stockées.

«[Amazon] a été assez rapide pour me répondre dans les 24 heures et a lancé sa propre enquête», explique Diachenko. 'Le temps presse ici, car les informations personnelles, de paiement et d'expédition de millions d'acheteurs britanniques sont menacées. J'ai donc commencé à analyser le contenu de la base de données et après plusieurs jours, j'ai établi la connexion avec le propriétaire final.'

• 2 février 2020 : La base de données MongoDB a été indexée pour la première fois par les moteurs de recherche.
• 3 février 2020 : Diachenko découvre la base de données et en informe immédiatement Amazon, qui répond dans les 24 heures et ouvre sa propre enquête.
• 8 février 2020 : Après une enquête plus approfondie sur les données, Diachenko a identifié le propriétaire. Il a contacté l'entreprise, qui a répondu dans l'heure et a fermé la base de données.

Au total, les données ont été exposées pendant environ cinq jours. Cela donnerait aux voleurs de données moins scrupuleux suffisamment de temps pour trouver et voler les données, mais nous ne savons pas avec certitude si d’autres parties non autorisées y ont accédé.

Quelles données ont été exposées ?

Les données se présentaient sous la forme de relevés de ventes d'achats sur Amazon UK, Ebay, Shopify et certains autres marchés. De nombreux enregistrements d'achat ont été regroupés à partir de systèmes de paiement tels que PayPal et Stripe.

Un porte-parole d'Amazon a déclaré à Comparitech que les adresses e-mail et les détails de la carte de crédit (quatre derniers chiffres) n'avaient pas été divulgués par Amazon, et MWS ne vend pas ce type d'informations.

Certains achats sur Ebay ont été affectés, mais ces données ne provenaient pas directement d'Ebay, a déclaré à Comparitech un porte-parole d'Ebay. 'Nous avons enquêté et constaté qu'aucun système eBay n'avait été compromis et qu'aucune donnée n'avait été extraite d'eBay', a déclaré le porte-parole. 'L'incident semble être lié à une API PayPal, qui est sous contrôle indépendant et non gérée par eBay.'

La grande majorité des dossiers identifiaient personnellement les clients au Royaume-Uni, notamment :

• Noms des clients
• Adresses de livraison
• Adresses mail
• Les numéros de téléphone
• Commandes (articles achetés)
• Paiements
• Numéros de carte de crédit expurgés (quatre derniers chiffres)
• ID de transaction et de commande
• Liens vers les factures pour Stripe et Shopify

Même si nous savons qu’environ 8 millions de documents ont été exposés au total, cela ne signifie pas que 8 millions de personnes ont été affectées. Chaque enregistrement correspond à une vente individuelle, mais un seul client peut représenter plusieurs ventes.

La base de données comprenait également des centaines de milliers de requêtes Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS, un ID de clé d'accès AWS et une clé secrète.

Dangers des données exposées pour les clients

Les informations personnellement identifiables de millions de clients de l’UE pourraient être exploitées par des criminels à des fins de phishing et d’escroqueries ciblées. Si les voleurs parvenaient à voler les données avant que l'accès ne soit sécurisé, ils pourraient envoyer des messages liés aux ventes se faisant passer pour PayPal, Amazon ou les autres marchés et systèmes de paiement avec lesquels l'application fonctionne.

Étant donné que les voleurs connaîtraient des informations détaillées sur les clients et leurs achats, ces messages pourraient être très convaincants. Ils pourraient inciter les victimes à fournir des mots de passe ou des informations de paiement via des e-mails de phishing ciblés et de faux sites Web, par exemple.Les clients d'Amazon UK qui utilisent PayPal doivent se méfier particulièrement des messages frauduleux.

Cette exposition illustre comment, lors de la transmission en ligne de données personnelles et de paiements à une entreprise, ces informations passent souvent entre les mains de divers tiers engagés pour les traiter, les organiser et les analyser. De telles tâches sont rarement réalisées uniquement en interne.

Même si un éditeur de logiciel tiers était responsable de la base de données, les clients concernés rejetteront probablement la faute sur les fournisseurs qui l'utilisent et sur les marchés sur lesquels ils ont effectué leurs achats.

Les requêtes Amazon MWS et les informations de connexion peuvent être utilisées pour interroger l'API MWS et demander des enregistrements spécifiques aux bases de données de ventes Amazon MWS des fournisseurs. Les fournisseurs doivent immédiatement modifier leurs mots de passe et clés secrètes MWS.

À propos des API

Les marchés en ligne et les systèmes de paiement comme Amazon et PayPal permettent aux développeurs de logiciels tiers de créer des applications que les commerçants peuvent utiliser pour accéder aux données de vente et les gérer. Dans cette affaire, le fournisseur a aidé les commerçants à regrouper les données de ventes et de remboursements de plusieurs marchés et à calculer la taxe sur la valeur ajoutée (TVA) pour les ventes transfrontalières dans l'UE.

Les développeurs sont tenus de sécuriser correctement les données lors de leur réception, de leur stockage, de leur utilisation et de leur transfert. Manquement à politiques de protection des données peut entraîner la suspension ou la résiliation de l’accès à l’API.

L'une des mesures prises par Stripe pour aider les utilisateurs à atténuer potentiellement les incidents de sécurité consiste à analyser les référentiels de codes publics, les applications marchandes et autres sites Web à la recherche de nos clés API secrètes . S'il voit la clé secrète d'un utilisateur spécifique visible publiquement quelque part, Stripe lui envoie automatiquement un e-mail avec une description de l'endroit où nous l'avons vue, comme une URL ou un numéro de ligne. Il ne semble cependant pas que cela aurait pu empêcher cet incident.

Comparitech a choisi de ne pas divulguer publiquement le nom du fournisseur responsable de la base de données car il s'agit d'une petite entreprise légitime. Notre intention est de sensibiliser et d'atténuer les dommages causés aux clients qui pourraient être concernés, et non de punir les erreurs. Étant donné que la grande majorité des clients ne savent probablement pas que leurs données sont passées entre les mains de ce fournisseur, nous ne pensons pas qu’il y ait grand-chose à gagner à les exposer.

Comment et pourquoi nous avons découvert cet incident

Comparitech et le chercheur en sécurité Bob Diachenko collaborent pour découvrir des données personnelles non sécurisées exposées sur le Web. Dès que nous trouvons des données personnelles exposées, nous prenons immédiatement des mesures pour identifier les parties responsables et les en informer.

Après une divulgation responsable, nous enquêtons sur les données pour savoir qui est concerné et quelles informations personnelles ont été divulguées. Une fois les données sécurisées, nous publions un rapport comme celui-ci pour sensibiliser le public et réduire les dommages potentiels pour les utilisateurs finaux.

Notre objectif est de prévenir toute attaque malveillante exploitant les données personnelles, comme le vol d’identité et le phishing.

Rapports précédents

Comparitech et Diachenko ont travaillé ensemble sur un certain nombre de rapports d'incidents de données affectant des millions de personnes, notamment :

• 250 millions de dossiers de service client et d’assistance Microsoft exposés
• 267 millions d’identifiants d’utilisateurs et de numéros de téléphone Facebook exposés en ligne
• 2,7 milliards d'adresses e-mail exposées provenant principalement de domaines chinois, dont 1 million incluaient des mots de passe
• Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
• 7 millions de dossiers d'élèves dévoilés par K12.com
• 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
• 2,8 millions de dossiers clients CenturyLink exposés
• Fuite de 700 000 dossiers clients de Choice Hotels

' amazon Royaume-Unis » par Sean MacEntee sous licence CC PAR 2.0