C’est devenu une histoire bien connue : un expert parcourt Shodan à la recherche de quelque chose laissé en accès libre et qui n’aurait pas dû l’être. Et au final il est étonné de ce qu’il a découvert !
Cette fois-ci, l’expert en question s’appelait Justin Paine, de Cloudflare, et il a utilisé cette technique pour mettre en évidence un serveur Elasticsearch non sécurisé (c’est-à-dire non protégé par un mot de passe) contenant près de 15 millions de documents.
Ces documents comprenaient apparemment des logs de clients datant de juillet 2018, et des logs de SMS/MMS (y compris l’heure et le contenu des messages) remontant à décembre 2015. Un exemple de SMS publié par Paine semble être un message marketing :
La série Phat Panda Platinum est arrivée !! La meilleure façon de commencer la nouvelle année !
La plupart des numéros de téléphone ont été partiellement expurgés, mais ceux des logs SMS étaient des numéros entiers.
Par ailleurs, le site d’informations TechCrunch a examiné les données et a trouvé des identifiants de pages de connexion client. C’est pourquoi toute personne utilisant VoIPo devrait modifier son mot de passe par précaution.
Ironiquement, le plus gros danger était probablement pour VOIPo lui-même !
Un index comprenant un million de documents contenait des données plus sensibles, telles que des noms d’hôte internes, des noms d’utilisateur, des mots de passe et des clés d’API.
Paine pense que cette partie des données a été exposée le 3 juin 2018, signifiant ainsi que ces données ont été laissées dans un état non protégé pendant six mois.
En théorie, VOIPo aurait pu être exposé de différentes manières, et notamment sa facturation, son infrastructure DNS, son système e911, ainsi que ses clients exposés à de convaincantes attaques de phishing. Paine a écrit :
Il est difficile de surestimer la gravité de cette partie de la fuite de données.
Ceci est bien sûr une spéculation, car il n’y a aucune preuve que cela se soit réellement produit.
Après avoir contacté VOIPo le jour même de la découverte des données, le 8 janvier, l’entreprise a déconnecté la base de données exposée.
Dans un email adressé à Paine, il était indiqué que les données se trouvaient sur un serveur de développement laissé accidentellement exposé et confirmait qu’il contenait des données de production valides, sans plus de précision.
Par ailleurs, Timothy Dick, CEO de VOIPo, a déclaré à Techcrunch que la société n’avait trouvé aucune preuve de violation de données, sans expliquer comment ils pouvaient en être certains.
Pour le moment, cependant, nous n’avons trouvé aucune preuve dans les logs ou sur notre réseau pour indiquer qu’une violation de données s’est produite.
Quoi faire ?
Comme suggéré, il est sage que les clients de VOIPo changent les mots de passe de leur compte. Nous vous recommandons également de configurer une authentification à deux facteurs, en supposant que VOIPo le propose.
Il s’agit du deuxième incident impliquant des entreprises de ce secteur qui exposent des données sur Elasticsearch après qu’une autre entreprise américaine, Voxox (anciennement Telcentris), ait connu un sort similaire en novembre dernier.
Au-delà de cela, les bases de données laissées sur des services cloud dans un état non sécurisé sont devenues le grand raté de notre époque en matière de configuration.
En septembre dernier, Veaam avait laissé 200 Go de données clients exposées sur une base de données AWS Mongo.
En 2017, les chercheurs ont découvert une autre base de données sur AWS exposant les données médicales de 918 000 patients.
Il y a eu encore d’autres bases exposées, toutes détectées par des chercheurs utilisant des outils auxquels tout cybercriminel aurait accès. Précisons encore une fois ce qui nous semble évident, à savoir que cela devrait être évitable !
Billet inspiré de Change your password! VoIP provider leaves huge database exposed online, sur Sophos nakedsecurity.