du 04 juin 2020
Date

Choisir une autre édition

La base de données MongoDB était géré par un sous-traitant, qui ne l’avait pas protégée par un mot de passe. Elle a été mise en ligne le 25 mai, répertoriée dans le moteur de recherche spécialisé Shodan le 27 mai et découverte par Bob Diachenko de Comparitech le 30 mai.

On y trouvait des détails sur 373 892 volontaires, plus d’un million de données sur des utilisateurs du site (email, nom et mot de passe « chiffré » selon le Service Civique cité par ZDNet) et « un répertoire de 1 913 contacts de haut niveau ».

Avec l’aide de Baptiste Robert (alias Elliot Alderson sur Twitter), ils sont remontés à la source et ont prévens le Service civique. Trois heures plus tard, l'accès était coupé. La plateforme affirme qu’« aucune intrusion malveillante ne s'est produite » et que l’incident a été porté à la connaissance de la CNIL.

Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible
chargement Chargement des commentaires...