L'éditeur de logiciels British Gas expose 3,6 millions d'adresses e-mail de clients sur le Web sans mot de passe
Cheetah Digital, un éditeur de logiciels travaillant pour le compte du fournisseur britannique de services énergétiques et domestiques British Gas, a exposé un serveur de messagerie sur le Web contenant 3,6 millions d'adresses e-mail de clients de British Gas, ainsi que des horodatages et des sujets de courrier électronique. Les données, découvertes par les chercheurs de Comparitech, étaient accessibles sans mot de passe ni aucune autre authentification requise.
Bob Diachenko, qui dirige l'équipe de recherche sur la cybersécurité de Comparitech, a signalé l'exposition à British Gas le 30 avril 2021. Centrica, la société mère de British Gas, a reconnu l'incident et Cheetah Digital a sécurisé les données un jour plus tard.
Les données, si des parties malveillantes y accèdent, pourraient être utilisées pour cibler les clients de British Gas avec des escroqueries et des e-mails de phishing, en utilisant les données exposées pour adapter des messages plus convaincants et personnalisés.
Centrica a répondu à Comparitech avec la déclaration suivante :
'Nous sommes conscients que certaines adresses e-mail de nos clients ont été exposées par une agence de marketing tierce, qui a ensuite pris des mesures rapides pour garantir que ces données soient immédiatement supprimées. Nous pouvons confirmer qu'aucun mot de passe ou information financière n'a été partagé, mais les adresses e-mail de certains clients abonnés aux notifications marketing ont été rendues visibles en ligne. Nous sommes désolés que cela se soit produit, car nous prenons la protection des données de nos clients très au sérieux et nous attendons de nos partenaires tiers qu'ils appliquent les mêmes normes élevées. Notre fournisseur nous a maintenant assuré qu'il avait mis en place des mesures supplémentaires pour garantir que cela ne se reproduise plus.'
L'éditeur de logiciels qui a exposé les données, Cheetah Digital, a fait la déclaration suivante :
« Début mai, Cheetah Digital a pris connaissance d'une mauvaise configuration dans un système isolé qui permettait à un expert en sécurité externe d'accéder aux adresses e-mail appartenant à un client britannique. La mauvaise configuration a été immédiatement résolue, corrigée et une enquête formelle a été ouverte. Les résultats de l'enquête ont confirmé que l'accès était limité à l'expert externe en sécurité. Cheetah Digital prend la protection des données de ses clients très au sérieux et est convaincu que les mesures et garanties supplémentaires mises en œuvre ont entièrement résolu le problème.
British Gas dessert 12 millions de foyers au Royaume-Uni et est le plus grand fournisseur d'énergie du pays.
Chronologie de l'exposition
Voici ce que nous savons qui s’est passé jusqu’à présent :
- 29 avril 2021 : la base de données a été indexée pour la première fois par les moteurs de recherche.
- 30 avril 2021 : Diachenko a découvert les données et a immédiatement alerté British Gas conformément à notre politique de divulgation responsable.
- 1er mai 2021 : Cheetah Digital a sécurisé les données.
Nous ne savons pas pendant combien de temps le serveur a été exposé avant d'être indexé par les moteurs de recherche, et nous ne savons pas si d'autres tiers y ont accédé pendant cette période. British Gas et Cheetah Digital affirment n’avoir trouvé aucun tiers autre que Diachenko ayant accédé aux données.
Nos recherches sur les pots de miel montrent les attaquants peuvent trouver et accéder à des serveurs non protégés en quelques heures .
Quelles données ont été exposées
British Gas indique à Comparitech que les adresses e-mail exposées appartenaient à des clients abonnés aux communications marketing de l'entreprise.
Diachenko a trouvé les journaux de messagerie exposés sur un serveur Amazon Elasticsearch. Au total, 18 065 470 enregistrements ont été exposés. Ces dossiers contenaient environ3,6 millions d'adresses e-mail uniques. Chaque enregistrement contenait tout ou partie des informations suivantes :
- Adresse e-mail du client
- Lignes d'objet des e-mails
- Dates des emails envoyés et reçus
- ID de message
Bien que nous soyons heureux d'annoncer qu'il semble qu'aucune information de paiement, contenu du corps de l'e-mail, mot de passe ou autre information client n'ait été exposé, des dangers subsistent créés par l'incident (voir ci-dessous).
Dangers des données exposées
British Gas affirme qu'il n'y a eu aucune preuve d'activité malveillante lors de l'exposition, même si nous recommandons néanmoins aux clients concernés de prendre des précautions.
Les clients de British Gas doivent être à l’affût des e-mails de phishing provenant d’escrocs se faisant passer pour British Gas ou une société liée. Les e-mails frauduleux tenteront d'inciter les victimes à cliquer sur un lien vers un site de phishing. Le site apparaîtra légitime afin de convaincre les victimes de saisir un mot de passe ou des informations de paiement, qui seront ensuite volées.
Voici quelques conseils pour repérer les e-mails de phishing :
- L'expéditeur essaie d'inculquer un sentiment d'urgence à la victime. Si vous vous sentez pressé, arrêtez-vous et considérez qu'il pourrait s'agir d'une arnaque. Pour un service public, cela peut inclure des menaces concernant des factures en souffrance, des mises à niveau ou des réparations nécessaires, des remboursements ou la suspension de votre service.
- Vérifiez le domaine (ce qui vient après @) de l’e-mail de l’expéditeur pour détecter les fautes d’orthographe. Comparez-le aux adresses e-mail officielles de British Gas.
- Ne cliquez jamais sur les liens ou les pièces jointes contenus dans un courrier électronique non sollicité.
- N'hésitez pas à appeler directement British Gas pour poser des questions sur l'e-mail.
Les données pourraient également être utilisées dans le cadre d’une fraude liée aux services publics, dans laquelle le fraudeur s’inscrit à un service public ou continue d’offrir un service existant au nom de quelqu’un d’autre. Cependant, aucun nom ou autre information personnelle n'était contenu dans la base de données, donc une telle attaque nécessiterait probablement des informations supplémentaires.
À propos de British Gas et de Cheetah Digital
British Gas est le plus grand fournisseur d'énergie au Royaume-Uni, fournissant de l'électricité et du gaz à plus de 12 millions de foyers et d'entreprises. C'est une filiale de Centrica Plc.
Ce n’est pas le premier incident lié aux données de British Gas. Les incidents précédents ont divulgué des informations plus sensibles, mais se sont produits à une échelle beaucoup plus petite :
- En 2015, il exposé les adresses e-mail et les mots de passe de 2 200 clients.
- En 2017, British Gas a annoncé qu'un site Web tiers a exposé les informations de connexion de 1 600 clients .
Guépard numérique est un éditeur de logiciels basé aux États-Unis, fondé en 1998. Il est spécialisé dans le marketing et l'engagement client, notamment dans l'analyse des données de marché et le déploiement de campagnes marketing ciblées. Ses autres clients comprennent Walgreens et Shell (qui n'ont ni l'un ni l'autre été touchés par cet incident).
Pourquoi nous avons signalé cet incident de données
Les chercheurs de Comparitech analysent régulièrement Internet à la recherche de bases de données vulnérables contenant des informations personnelles. Lorsque nous trouvons une telle base de données non protégée, nous lançons immédiatement une enquête pour déterminer qui en est responsable, qui est concerné, quels types de données sont exposées et quelles conséquences potentielles les personnes concernées pourraient en subir.
Une fois que nous avons identifié le propriétaire, nous envoyons rapidement une alerte conformément à notre politique de divulgation responsable afin que les données puissent être sécurisées le plus rapidement possible. Nous publions ensuite un article comme celui-ci pour sensibiliser et réduire les dommages causés aux utilisateurs finaux.
Rapports d'incidents de données précédents
Comparitech a publié de nombreux rapports d'incidents de données comme celui-ci, tels que :
- je L'agence indienne des visas expose 6 500 demandes de visa de voyageur sur le Web
- Le service de test COVID-19 de l’Utah expose les pièces d’identité avec photo et les informations personnelles de 50 000 patients
- Le service de marketing des concessionnaires automobiles Friendemic expose 2,7 millions de dossiers de consommateurs
- La chaîne de gymnases Town Sports expose 600 000 dossiers de ses membres et de son personnel
- Le service téléphonique de la prison Telmate expose les messages et les informations personnelles de millions de détenus
- Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils supprimés
- UFO VPN expose des millions de journaux, y compris les mots de passe des utilisateurs
- 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
- Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
- 250 millions de dossiers de support client Microsoft ont été exposés en ligne
- Plus de 260 millions d'identifiants Facebook ont été publiés sur un forum de hackers
- Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
- Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
- Plus de 2,5 millions de dossiers clients CenturyLink ont été divulgués