Les détails des clients de CenturyLink exposés en ligne, 2,8 millions de dossiers ont été divulgués

Une base de données de 2,8 millions d’enregistrements contenant des informations sensibles concernant des centaines de milliers de clients de CenturyLink a été laissée ouverte en ligne à toute personne ayant accès à Internet. Les enregistrements constituant la base de données étaient des journaux provenant d'une plateforme de notification tierce utilisée par CenturyLink. Ils comprenaient plusieurs informations personnelles, notamment le nom, l'adresse e-mail, le numéro de téléphone et l'adresse, ainsi que des informations spécifiques au compte.

CenturyLink est une société technologique Fortune 500 qui fournit aux clients résidentiels et professionnels une variété de produits et de services, notamment Internet, la téléphonie, la télévision par câble, les solutions cloud et la sécurité.

Comparitech a découvert la base de données MongoDB exposée en collaboration avec le chercheur en sécurité Bob Diachenko. La découverte a été faite le 15 septembre et Diachenko en a informé CenturyLink ce jour-là, mais la base de données n'avait déjà été exposé depuis plusieurs mois à ce stade. Le 17 septembre, il était fermé.

Après avoir alerté CenturyLink et leur avoir laissé le temps de résoudre ce problème, ils nous ont demandé de suspendre la publication de ce rapport. Cela devait laisser le temps à CenturyLink de mener une enquête interne et de renvoyer l'affaire à la FCC avant d'en informer ses clients.

La base de données comprenait des journaux API contenant des informations sur les clients et contenait plus de 2,8 millions d'enregistrements au total. Étant donné que certains clients ont fait l’objet de plusieurs enregistrements, le nombre estimé de clients concernés est bien inférieur, mais se chiffre toujours en centaines de milliers.

CenturyLink a fait la déclaration suivante à Comparitech :

Depuis que nous avons pris connaissance de cette situation, nous nous sommes efforcés de confirmer que le problème de sécurité a été résolu et nous menons une enquête approfondie sur l'incident. Les données impliquées semblent être principalement des informations de contact et nous n'avons aucune raison de croire que des informations financières ou autres informations sensibles ont été compromises. CenturyLink est en train de communiquer avec les clients concernés. Nous continuerons à travailler pour protéger les informations des clients. CenturyLink prend la protection des informations de nos clients au sérieux et nous nous efforcerons de garantir que nous gagnons la confiance de nos clients.

Chronologie de la fuite de données

La base de données MongoDB a été rendue publique de telle sorte qu'aucune authentification n'était requise pour y accéder. Voici ce que nous avons observé :

• 17 novembre 2018 : La base de données a été indexée pour la première fois sur Shodan.
• 15 septembre 2019 : Le chercheur en sécurité Bob Diachenko a découvert la base de données exposée. Il a immédiatement contacté CenturyLink.
• 17 septembre 2019 : La base de données avait été fermée.
• 17 octobre 2019 :Nous avons reçu une notification indiquant que l'enquête de la FCC était terminée

Il semble que la base de données ait été exposée pendant environ 10 mois avant d'être fermée au public.

Cela aurait donné aux parties malveillantes suffisamment de temps pour utiliser les données dans divers schémas.

Quelles informations ont été exposées ?

Le MongoDB exposé était affilié à un fournisseur tiers. Il s'agissait d'une plate-forme de notification multicanal pour les communications internes et externes, par exemple entre clients, techniciens et agents.

Le type de données exposées était les journaux API de ces communications. Les enregistrements clients étaient en texte brut (non cryptés) et contenaient les données suivantes :

• Nom
• Adresse e-mail
• Numéro de téléphone
• Adresse physique
• Numéro de compte CenturyLink
• Journaux de notifications
• Journaux de conversations

Entre autres données, il y avait des informations sur les services CenturyLink auxquels chaque client était abonné, par exemple le haut débit ou la sécurité domestique. Il n’est pas clair si les sujets étaient des clients résidentiels ou professionnels, mais d’après les adresses, il semble que la plupart, sinon la totalité, soient des clients résidentiels.

Dangers de l'exposition des données pour les clients de CenturyLink

Les informations personnelles exposées dans la base de données ne sont pas considérées comme de nature très sensible. Par exemple, il n’y a aucune information bancaire ni numéro de sécurité sociale. Cela étant dit, un ensemble d’informations telles que le nom, l’adresse e-mail, le numéro de téléphone et l’adresse postale d’une personne peuvent être très précieuses pour les criminels.

Les clients de CenturyLink doivent faire attention programmes de phishing ciblés et les escroqueries associées qui pourraient être menées par courrier électronique, par téléphone ou même par courrier. Sachant que vous êtes un client CenturyLink et en particulier les services auxquels vous êtes abonné, un fraudeur pourrait se faire passer pour un représentant de l’entreprise de manière convaincante pour tenter de vous faire fournir des informations supplémentaires telles que le mot de passe de votre compte ou votre numéro de carte de crédit.

Les informations relatives aux comptes semblent assez inoffensives en apparence. Cependant, étant donné la durée pendant laquelle la base de données a été exposée, il est possible que des parties malveillantes aient eu la possibilité de suivre des clients individuels au fil du temps. Les informations contenues dans les journaux pourraient même contribuer à des crimes physiques. Par exemple, savoir qu’un technicien est prévu sur place pourrait donner à un criminel l’occasion de tenter de pénétrer dans la maison d’une personne.

À propos de CenturyLink

CenturyLink est le sixième plus grand fournisseur d'accès Internet haut débit aux États-Unis, avec environ 4,8 millions d'abonnés en date du T1 2019 .

CenturyLink est une entreprise de premier plan qui fournit des produits et services à des clients résidentiels et commerciaux depuis de nombreuses années. Elle vend, entre autres, des forfaits Internet, téléphonie et télévision, ainsi que des solutions de sécurité et de cloud.

Compte tenu de la nature des produits et services de l’entreprise, de nombreux clients disposent de matériel CenturyLink chez eux ou dans leurs locaux professionnels, tels que des modems Internet et des dispositifs de sécurité.

Le contenu de la base de données indique que CenturyLink a fait appel à un fournisseur tiers pour communiquer avec et entre les clients, les techniciens et les autres membres de l'entreprise.

Ce n'est pas la première fois que CenturyLink est impliqué dans une fuite impliquant des informations personnelles. En mars 2018, un recours collectif a été lancé contre l'entreprise (avec DirecTV) par un groupe de consommateurs qui ont découvert que leurs informations personnelles étaient librement disponibles en ligne.

Le plaignant qui a initié l'affaire a effectué une recherche sur Internet pour trouver son numéro de téléphone et a découvert une copie accessible au public d'une facture pour un ensemble de services CenturyLink et DirecTV. Il affichait son nom, son adresse, son numéro de téléphone et d’autres informations. Environ 1 000 autres clients ont été inclus dans le règlement plus tard cette année.

Comment et pourquoi nous avons découvert la fuite

Chez Comparitech, nous menons des recherches de sécurité continues, notamment en analysant Internet pour découvrir des bases de données exposées qui pourraient être involontairement accessibles à des parties non autorisées. Nous agissons ensuite le plus rapidement possible pour minimiser le risque potentiel pour les utilisateurs finaux concernés.

Bob Diachenko possède de nombreuses années d'expérience dans le domaine de la cybersécurité et utilise ses vastes connaissances pour découvrir les fuites et les violations et analyser les informations impliquées. Une fois qu'il découvre des informations divulguées, il en détermine le propriétaire et en informe l'organisation responsable afin que les données puissent être sécurisées.

Nous allons ensuite plus loin et étudions la composition des données divulguées et à qui elles se rapportent. Nous compilons nos conclusions dans un rapport comme celui-ci pour aider à informer les personnes concernées. En faisant connaître ces cas, nous espérons que les organisations et les utilisateurs concernés pourront prendre des mesures pour limiter l'accès aux données et leur utilisation abusive par des parties malveillantes.

Rapports précédents

Il ne s’agit que d’une fuite parmi une série de fuites et de violations découvertes par Comparitech et Diachenko. En voici quelques autres sur lesquels nous avons travaillé :

• Fuite de 700 000 dossiers clients de Choice Hotels
• 7 millions de dossiers d'élèves dévoilés par K12.com
• Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
• Le détaillant de crypto-monnaie coté en bourse QuickBit expose plus de 300 000 enregistrements
• 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public