Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis

15 millions de clients impactés pour T-Mobile
Internet 2 min
Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis
Crédits : Ximagination/iStock/ThinkStock

Deux sociétés viennent d'annoncer que des données personnelles avaient été dérobées : Patreon et T-Mobile. Dans le premier cas, un serveur de test était accessible à tout le monde, tandis que dans le second, un prestataire a laissé filer des informations sur pas moins de 15 millions de clients.

Patreon est une plateforme de financement participatif qui permet à des personnes de chercher des mécènes pour les financer au long terme ou pour un projet en particulier. Problème, le service avait laissé accessible à tout le monde un serveur de test qui contenait une image de sa base de données utilisée sur son serveur de production.

Chez Patreon, un serveur de test avec une base de données bien remplie

Du coup, des personnes ont pu accéder et récupérer des informations comme le nom, les adresses email, les messages ainsi que des adresses de livraison et de facturation des utilisateurs. La société se veut néanmoins rassurante : « Nous ne stockons pas les numéros de carte de crédit sur nos serveurs et aucun numéro de carte de crédit n’a été compromis. Bien qu'accessibles, tous les mots de passe, numéros de sécurité sociale et formulaire de prélèvement restent protégés par un chiffrement RSA sur 2048 bits » via bcrypt, ajoute Patreon.

Aucune action n'est donc nécessaire du côté de l'utilisateur, mais la société recommande tout de même de changer de mot de passe pour plus de sécurité. Des données chiffrées avec une clé RSA sur 2048 bits ne devraient pas en effet être facilement décryptables dans l'immédiat, à condition tout de même que le chiffrement soit fait proprement et sans biais. Dans tous les cas, le serveur de test a été coupé et la société annonce qu'elle a engagé une société externe afin de mener un audit de sécurité pour éviter que cela ne se reproduise. 

Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis

Dans le même temps, aux États-Unis, l'opérateur T-Mobile fait face à une fuite de données concernant près de 15 millions de clients. Une brèche dans la sécurité d'Experian, « un fournisseur qui traite les demandes de crédits », a ainsi permis de récupérer des informations non chiffrées comme le nom, adresse et la date de naissance.

Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d'identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d'informations bancaires comme des numéros de carte ou de compte. 

Le PDG de T-Mobile ajoute qu'il va mener un examen approfondi de « sa relation avec Experian » et que les clients impactés par cette fuite de données peuvent souscrire gratuitement, et pour deux ans, à ProtectMyID Elite, un service proposé par... Experian.

13 commentaires
Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d'identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d'informations bancaires comme des numéros de carte ou de compte.

Tant mieux, ce serait con d'avoir à faire opposition maintenant alors qu'il va falloir refaire entièrement tous ses papiers et cartes quand l'identité des clients aura été usurpée à l'aide des infos personnelles dérobées.

Avatar de Aalaesar INpactien
Avatar de AalaesarAalaesar- 02/10/15 à 09:31:13

Double faute pour Patreon :
 

  • Ouvrir un serveur de test (donc souvent avec des critères de sécurité moindres) aux Internets
  • Utiliser des données de prod non anonymisées pour leurs tests.
     
     Ok c'est facile de leur taper dessus à postériori, mais quelle bourde !
Avatar de eres Abonné
Avatar de ereseres- 02/10/15 à 09:31:20

Vos numéros de cartes de crédit n'ont pas été dérobés... donc ce n'est pas grave, passez votre chemin.
 
Et l'usurpation d'identité, c'est pour les séries TV?

Avatar de eres Abonné
Avatar de ereseres- 02/10/15 à 09:32:34

C'est vrai que souvent pour les tests, la galère c'est de "fabriquer" les données nécessaires... Bon ici, la solution a été "trop" facile.

Avatar de aureus Abonné
Avatar de aureusaureus- 02/10/15 à 10:00:54

Personne ne dit ca, vous combattez des moulins

Avatar de Aalaesar INpactien
Avatar de AalaesarAalaesar- 02/10/15 à 10:04:31

En fait, j'exagère un peu, l'anonymisaton des données peut être optionnelle si le risque de fuite est maitrisé.
 
J'ai travaillé avec des bases de données de production "obsolètes" (comprendre an-1 voir an-2) non anonymisées, cependant l'environnement était sécurisé.
 
Actuellement, je travaille avec un collègue chargé de fournir des données à des centaines de projets pour leurs tests, n'ayant pas la maitrise de l'environnement, l'anonymisation est indispensable dans ce cas.

Avatar de zogG INpactien
Avatar de zogGzogG- 02/10/15 à 10:46:43

Ils vont kickstarter la mise à niveau de la secu ? :D

Avatar de DownThemAll Abonné
Avatar de DownThemAllDownThemAll- 02/10/15 à 11:55:38

Question concernant Patreon, pourquoi il n'y a que les mots de passe et numéro de sécurité sociale qui soient chiffrés et hashés? Pourquoi pas le reste des infos?

OK je ne me ferai pas usurper mon numéro de sécu, mais si je me fais spammer à mort et de manière nominative ça peut aussi être embêtant!

Édité par DownThemAll le 02/10/2015 à 11:56
Avatar de Aalaesar INpactien
Avatar de AalaesarAalaesar- 02/10/15 à 12:49:55

les méthodes de hashage pour les mots de passe sont souvent destructices :
Un algorithme de hashage permet d'obtenir un unique résultat pour une entrée unique et il n'existe normalement pas d'algorithme permettant de reconstituer/décoder l'information à partir du hash.
 
 C'est pour cela que les hackers utilisent souvent des tables  de correspondances pour chaque d'algorithme de hashage qui permettent de retouver les mots de passe basiques à partir du hash .
Mais, pour Patreon, le mdp est aussi crypté avant d'être hashé ce qui rend théoriquement impossible l'utilisation de ces tables, même avec un mot de passe bidon, sauf si leur clé de cryptage est compromise.
 
 Dans la plupart des mécanismes d'authentification, on compare le résultat du hash d'une chaine donnée avec le hash du mot de passe stocké pour valider ou refuser l'autentification. Pareillement pour les numéros de sécurité social qui sont des données servant aussi à authentifier les personnes.
 
 Quand les données doivent être exploitées par un programme, elle ne peuvent être détruites par un Hashage. On peu peut-être les crypter si le SGBD le permet mais cela doit se faire à la conception du système, en considérant les contraintes/limitations de volumes de base et surtout de performances, etc.
 
 C'est pour cette dernière raison que, le plus souvent, ce sont les échanges entre hosts qui sont cryptés plus que les données.
 Dans le cas de T-mobile, leurs clées et certificats ont "peut-être" fuités...

Édité par Aalaesar le 02/10/2015 à 12:50
Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 02/10/15 à 12:59:05

Experian c'est pas la première fois qu'ils me pète les couilles eux...

Il n'est plus possible de commenter cette actualité.
Page 1 / 2