Fuite de 23 millions de documents à cause d’un bucket AWS S3 non sécurisé

0

Selon l’équipe de cybersécurité de SafetyDetectives, un bucket AWS S3, contenant 23 millions de documents (ce qui équivaut à environ 6,5 To de données) comprenant des informations de type Electronic Flight Bag (EFB) de la compagnie aérienne turque Pegasus Airlines, n’a pas été correctement sécurisé. 

En conséquence, de nombreuses données sensibles ont fuité, parmi lesquelles des cartes de vol/révisions, des détails sur les problèmes liés aux vérifications avant le vol, des documents d’assurance, ainsi que les informations personnelles identifiables de l’équipage de la compagnie, incluant leurs photos et leurs signatures. Les informations qui ont fuité sont liées à Pegasus EFB, un logiciel développé et opéré par Pegasus, que les pilotes utilisent pour la navigation et certaines procédures de sécurité.

Cette fuite de données majeure démontre l’importance de disposer d’un canal de communication clair par lequel des tiers peuvent divulguer des vulnérabilités de manière responsable. 

Les compagnies aériennes sont actuellement confrontées à des pénuries de personnel et à des perturbations majeures. Elles constituent donc des cibles faciles pour les criminels qui profitent de ce contexte. Les vulnérabilités relatives à un stockage AWS non sécurisé sont extrêmement courantes. Bien qu’il ne soit pas possible de savoir si des acteurs malveillants ont effectivement eu accès aux fichiers, le fait de savoir que le bucket S3 non sécurisé existe permet à la compagnie aérienne de prendre les mesures pour le sécuriser. L’un des principaux écueils mis en évidence par la récente étude de HackerOne sur le déficit de résistance aux attaques est qu’un tiers des organisations surveillent moins de 75 % de leur surface d’attaque totale, et près de 20 % estiment que plus de la moitié de leur surface d’attaque est soit inconnue, soit non observable. 

Dans ce cas, 1,6 million de fichiers hautement sensibles ont été exposés, ce qui pourrait avoir un impact sur le fonctionnement et la réputation de la compagnie aérienne. Toutefois, grâce à une surveillance continue de l’ensemble de la surface d’attaque, les vulnérabilités de ce type peuvent être rapidement et facilement identifiées et corrigées, avant même qu’elles ne soient exploitées.

Les cybercriminels effectuent des scans automatisés 24 heures sur 24 et 7 jours sur 7 pour détecter ce type de mauvaise configuration. Comme dans ce cas précis, quel que soit le dévouement des équipes en charge de la sécurité en interne, leur approche de la sécurité est souvent différente de celle d’un attaquant externe. Par conséquent, la meilleure façon de renforcer les ressources existantes consiste à engager des hackers éthiques qui effectueront les mêmes scans que les criminels et signaleront toute vulnérabilité qu’ils trouveront pour la corriger avant qu’elle ne soit exploitée pour voler des informations. 

Share.

About Author

Ingénieur Responsable des Ventes EMEA chez HackerOne

Leave A Reply