Fuite de 340 millions de données personnelles chez Exactis

0

Exactis, une entreprise de marketing et d’agrégation de données basée en Floride, a involontairement publié sa base de données contenant environ 340 millions d’enregistrements individuels sur un serveur accessible au public (pour comparaison – la population américaine était de 325,7 millions en 2017).

Sur les 340 millions de documents qui ont fuité, 110 millions d’entre eux étaient liés à des entreprises. Et bien que les renseignements personnels potentiellement rendus publics ne comprennent pas de renseignements financiers ou de numéros de sécurité sociale, ils contiennent des numéros de téléphone, des adresses postales ou électroniques ainsi que d’autres informations très personnelles sur chaque individu. Ces informations concernent les centres d’intérêts et les habitudes, le nombre, l’âge et le sexe des enfants de l’individu. A ce jour, Exactis a sécurisé le serveur en question, mais n’a fait aucun commentaire sur cette vulnérabilité.

Les premiers éléments sur la fuite de données d’Exactis sont alarmants. Cette affaire ne concerne pas les informations qui sont habituellement visées comme les numéros de carte de crédit et de sécurité sociale ; en revanche, les 340 millions de données comprennent plus de 400 paramètres d’informations personnelles telles que des renseignements sur la religion, les habitudes d’achat ou même le fait de posséder un animal de compagnie. L’ampleur de la fuite est d’autant plus grande que la majeure partie de la population est persuadée que ce genre d’informations n’est jamais rendues public.

Ces données hautement sensibles pourraient être exploitées par des acteurs malveillants pour réaliser différents types d’attaques. Par exemple, si un hacker combinait ces informations avec celles des données compromises d’Equifax, il pourrait lancer des opérations spéciales d’attaques intelligentes. C’est également un atout énorme pour les criminels qui utilisent l’usurpation d’identité comme outil de phishing. Si un hacker voulait faire preuve d’imagination, il pourrait utiliser les données pour deviner les mots de passe et les questions d’authentification secondaires telles que : « Quel était le nom de votre premier chien ? » De plus, comme 110 millions de ces dossiers sont des données d’entreprises. Les criminels pourraient les utiliser pour des campagnes de spear-phishing en envoyant des messages fortement personnalisés visant l’exfiltration des données sensibles.

En fin de compte, il s’agit d’un énième exemple d’utilisateurs qui ne suivent pas les meilleures pratiques en matière de sécurité. Dans le cas de Cambridge Analytica, les hackers devaient ” voler ” ce type de données émanant de profils Facebook, mais dans le cas d’Exactis, les données étaient accessibles au public sur un serveur avec une authentification faible ou nulle. Cela souligne encore davantage la nécessité pour les entreprises de se concentrer sur la manière dont leurs employés, leurs clients ou leurs fournisseurs interagissent avec leurs données. Les entreprises devraient avoir un aperçu des activités à risque et réfléchir à la manière dont des vulnérabilités de ce type pourraient être atténuées ou évitées.

exactis

About Author

Nicolas Fischbach

En tant que Global CTO, Nicolas Fischbach pilote la vision de l'entreprise. Il définit le programme de recherche, les feuilles de route de la technologie et de l'architecture. Il a notamment développé le système Human Point de Forcepoint. Il est responsable des laboratoires d'innovation Forcepoint et joue un rôle essentiel dans le développement du leadership de la marque. Nicolas Fischbach dirige une équipe d'architectes de solutions de Human point et de RSSI présents sur le terrain. Il parraine également des partenariats universitaires de R&D et des transferts de technologie Raytheon. Précédemment, Nicolas Fischbach a dirigé la première transformation cloud de Forcepoint en tant que directeur technique pour les activités de sécurité cloud de l'entreprise. Au cours de cette mission Nicolas a supervisé la direction technique et l'innovation. Avant de rejoindre Forcepoint, Nicolas a passé 17 ans chez Colt, fournisseur mondial de services B2B, en tant qu'ingénieur réseau senior et responsable de la stratégie, de l'architecture et de l'innovation à l'échelle de l'entreprise. Sous sa direction, Colt a reçu de nombreuses distinctions en tant que pionnier de la transformation du SDN, du NFV et des télécommunications. Nicolas Fischbach est une figure reconnue en matière de sécurité des fournisseurs de services, d’architectures de réseaux et de cloud computing de nouvelle génération. Il est titulaire d'une maîtrise en réseautique et informatique distribuée de l'Université Pierre et Marie Curie, d'une maîtrise en informatique de l'Institut des technologies de l'information et d'un bachelor en informatique de l'Institut de technologie de l'Université Robert Schuman. Nicolas est également un ancien membre du conseil consultatif d'un certain nombre d'entreprises et consacre du temps à la communauté en tant que membre du Honeynet Project, un organisme de recherche dédié à la sécurité sur Internet.

Leave A Reply