Deux sociétés viennent d'annoncer que des données personnelles avaient été dérobées : Patreon et T-Mobile. Dans le premier cas, un serveur de test était accessible à tout le monde, tandis que dans le second, un prestataire a laissé filer des informations sur pas moins de 15 millions de clients.
Patreon est une plateforme de financement participatif qui permet à des personnes de chercher des mécènes pour les financer au long terme ou pour un projet en particulier. Problème, le service avait laissé accessible à tout le monde un serveur de test qui contenait une image de sa base de données utilisée sur son serveur de production.
Chez Patreon, un serveur de test avec une base de données bien remplie
Du coup, des personnes ont pu accéder et récupérer des informations comme le nom, les adresses email, les messages ainsi que des adresses de livraison et de facturation des utilisateurs. La société se veut néanmoins rassurante : « Nous ne stockons pas les numéros de carte de crédit sur nos serveurs et aucun numéro de carte de crédit n’a été compromis. Bien qu'accessibles, tous les mots de passe, numéros de sécurité sociale et formulaire de prélèvement restent protégés par un chiffrement RSA sur 2048 bits » via bcrypt, ajoute Patreon.
Aucune action n'est donc nécessaire du côté de l'utilisateur, mais la société recommande tout de même de changer de mot de passe pour plus de sécurité. Des données chiffrées avec une clé RSA sur 2048 bits ne devraient pas en effet être facilement décryptables dans l'immédiat, à condition tout de même que le chiffrement soit fait proprement et sans biais. Dans tous les cas, le serveur de test a été coupé et la société annonce qu'elle a engagé une société externe afin de mener un audit de sécurité pour éviter que cela ne se reproduise.
Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis
Dans le même temps, aux États-Unis, l'opérateur T-Mobile fait face à une fuite de données concernant près de 15 millions de clients. Une brèche dans la sécurité d'Experian, « un fournisseur qui traite les demandes de crédits », a ainsi permis de récupérer des informations non chiffrées comme le nom, adresse et la date de naissance.
Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d'identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d'informations bancaires comme des numéros de carte ou de compte.
Le PDG de T-Mobile ajoute qu'il va mener un examen approfondi de « sa relation avec Experian » et que les clients impactés par cette fuite de données peuvent souscrire gratuitement, et pour deux ans, à ProtectMyID Elite, un service proposé par... Experian.
