Blog

Rapport : la fuite de données SavingStar expose 3 millions d'enregistrements

maison d



Une base de données contenant près de 3 millions d'enregistrements appartenant au service de remise d'épicerie SavingStar a été exposée sur le Web. Le chercheur en sécurité de Comparitech, Bob Diachenko, a découvert l'instance MongoDB non sécurisée, qui était ouverte à toute personne disposant d'une connexion Internet.

Nous avons immédiatement informé SavingStar après avoir découvert les données exposées, qui contenaient des reçus numérisés et des données clients. SavingStar a sécurisé la base de données peu de temps après.



SavingStar est une application gratuite pour iOS, Android et le Web qui permet aux utilisateurs de lier leurs cartes de fidélité d'épicerie, d'obtenir des remises et de stocker les économies sur leur compte SavingStar.

Chronologie de la fuite de données

La base de données MongoDB était accessible au public sans mot de passe ni autre authentification requise.



utilisateurs autorisés de Savingstar

Le 4 août 2019, la base de données a été indexée pour la première fois par les moteurs de recherche. Nous l'avons découvert deux jours plus tard.

Le 6 août, après avoir déterminé à qui appartenait la base de données, Diachenko en a immédiatement informé SavingStar. SavingStar a pris des mesures pour sécuriser la base de données en quelques heures le même jour.

L'entreprise a répondu par e-mail pour confirmer :

« Après avoir pris connaissance de cet incident, nous avons immédiatement entrepris une enquête pour identifier et remédier à la cause profonde. Notre enquête a révélé qu'après une récente mise à jour d'un correctif, un problème de pare-feu a exposé par inadvertance des données limitées pendant environ deux jours. Nous n'avons aucune preuve que des données ont été supprimées de cette base de données, diffusées ou utilisées à mauvais escient, et quelques heures après la découverte, nous avons corrigé le problème afin qu'il n'y ait plus de vulnérabilité. Maintenir la sécurité et la confidentialité de nos données est un élément essentiel de qui nous sommes et nous prenons cette responsabilité très au sérieux.

Quelles informations ont été exposées ?

Les enregistrements contenaient diverses informations, mais la majeure partie des données est constituée de reçus numérisés et d'une liste d'utilisateurs qui ont utilisé Facebook pour se connecter à l'application :

  • Plus d'un million de liens vers des reçus numérisés stockés sur un compartiment AWS S3
  • 1 797 054 utilisateurs autorisés par Facebook (nom complet, pseudo, URL du profil Facebook, jeton de connexion, lien image)
  • 3 771 profils de cartes de crédit (pas de détails de paiement)

Nous avons également trouvé un petit nombre d'enregistrements d'utilisateurs qui, selon SavingStar, sont des « données internes » et «non associé à aucun de nos membres :»

  • 101 données d'utilisateurs autorisés (adresse IP de connexion, adresse e-mail et mot de passe crypté)
  • 189 enregistrements avec historiques de mots de passe

Diachenko indique que les analyses de reçus étaient stockées sur un compartiment Amazon S3 distinct. L'accès général à celui-ci a été désactivé, mais les reçus étaient accessibles via des liens directs répertoriés dans la base de données MongoDB.

reçus Savingstar

Les reçus varient d'un commerçant à l'autre, mais ils comprennent généralement :

  • Date et heure de l'achat
  • Articles achetés et prix totaux
  • Nom et localisation de l'entreprise
  • Taxe de vente
  • Mode de paiement
  • Politique de retour

Les profils de carte de crédit ont faitpasinclure tous les détails de paiement tels que les numéros de carte de crédit, les dates d'expiration ou les numéros CVV.

Nous ne savons pas si quelqu'un d'autre a obtenu un accès non autorisé à la base de données avant qu'elle ne soit sécurisée.

Dangers des données exposées

Les liens vers les reçus numérisés étaient associés à des identifiants clients individuels. Ces informations pourraient être utilisées pour découvrir l’historique d’achats des utilisateurs.

Les données Facebook contiennent les informations personnelles les plus identifiables. En plus de cela, Diachenko ditles jetons de connexion pourraient éventuellement être utilisés par un criminel pour se connecter au compte SavingStar de quelqu’un d’autre et le pirater.

fuite de données savingstar facebook

Bien que les données des utilisateurs autorisés et l'historique des mots de passe n'aient pas été associés à de vrais utilisateurs, Diachenko affirme que cela pourrait potentiellement compromettre l'infrastructure SavingStar.

Tous les utilisateurs de SavingStar doivent être à l’affût des e-mails de phishing ciblés liés à SavingStar. Ils peuvent recevoir des e-mails frauduleux ou des messages Facebook visant à inciter la victime à lui fournir des informations supplémentaires. Les criminels pourraient utiliser les informations personnelles trouvées dans cette base de données pour rendre le message plus convaincant.

Les instances MongoDB exposées ne mettent pas seulement les données en danger. Les instances elles-mêmes peuvent être détournées et utilisées pour propager des logiciels malveillants ou des ransomwares. Diachenko explique que les cybercriminels peuvent accéder à distance aux ressources du serveur ou exécuter du code pour voler ou détruire les données contenues sur le serveur.

À propos de SavingStar

SavingStar est un service de remise d'épicerie pour iOS, Android et le Web qui permet aux utilisateurs de gagner de l'argent sur leurs achats. Normalement, les utilisateurs peuvent utiliser l'application pour associer leurs cartes de fidélité de magasin et sélectionner les remises qu'ils souhaitent. Lorsque l'utilisateur effectue un achat, les économies sont ajoutées à son compte.

Cependant, tous les magasins ne disposent pas de cartes de fidélité. C'est là qu'interviennent les reçus numérisés. Les clients peuvent utiliser l'application pour prendre une photo d'un reçu afin d'obtenir des remises au lieu d'une carte de magasin.

Les utilisateurs peuvent se connecter à l'application en utilisant soit une combinaison d'e-mail et de mot de passe, soit en se connectant via Facebook. C'est probablement de là que proviennent les jetons Facebook et certaines autres données.

Une fois qu'un utilisateur a accumulé au moins 20 $ de remises, il peut retirer des fonds sur un compte PayPal ou les donner à une œuvre caritative.

Le site Web de SavingStar indique qu’il a été lancé en 2010 et compte désormais plus de 8 millions d’utilisateurs. L'application Android est classée 4,2 étoiles et compte plus d'un million d'installations sur Google Play. La version iOS a une note de 4,1 étoiles.

SavingStar est une filiale de Quotient Technology, Inc. Une société de coupons cotée au NYSE qui possède également Coupons.com.

Nous n’avons trouvé aucune trace d’incidents antérieurs concernant les données publiques liés à SavingStar.

Comment et pourquoi nous avons découvert cette brèche

L’équipe de recherche en sécurité de Comparitech analyse le Web à la recherche de bases de données mal configurées et vulnérables. Notre objectif est d’alerter les organisations responsables et de contribuer à faire d’Internet un endroit plus sûr.

Bob Diachenko met à profit sa vaste expertise et son expérience en matière de cybersécurité pour rechercher et analyser les données exposées. Lorsqu’il constate une fuite, il prend immédiatement les mesures nécessaires pour avertir l’organisme responsable des données. Nous n'exfiltrons pas les données que nous trouvons.

Une fois divulguées, notre enquête se poursuit et nous apprenons la nature des données et à qui elles se rapportent. Nous rapportons nos conclusions pour sensibiliser les consommateurs concernés afin qu’ils puissent prendre les mesures ou précautions nécessaires. Nous entreprenons cette initiative pour limiter l'accès malveillant aux informations personnelles et atténuer les dommages si les données tombent entre de mauvaises mains.

Rapports précédents

Comparitech s'est associé à Diachenko pour découvrir plusieurs fuites et violations de données, notamment :

^