Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis

Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis

15 millions de clients impactés pour T-Mobile

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

02/10/2015 3 minutes
13

Fuite de données chez Patreon et T-Mobile : entre serveur de test et chiffrement compromis

Deux sociétés viennent d'annoncer que des données personnelles avaient été dérobées : Patreon et T-Mobile. Dans le premier cas, un serveur de test était accessible à tout le monde, tandis que dans le second, un prestataire a laissé filer des informations sur pas moins de 15 millions de clients.

Patreon est une plateforme de financement participatif qui permet à des personnes de chercher des mécènes pour les financer au long terme ou pour un projet en particulier. Problème, le service avait laissé accessible à tout le monde un serveur de test qui contenait une image de sa base de données utilisée sur son serveur de production.

Chez Patreon, un serveur de test avec une base de données bien remplie

Du coup, des personnes ont pu accéder et récupérer des informations comme le nom, les adresses email, les messages ainsi que des adresses de livraison et de facturation des utilisateurs. La société se veut néanmoins rassurante : « Nous ne stockons pas les numéros de carte de crédit sur nos serveurs et aucun numéro de carte de crédit n’a été compromis. Bien qu'accessibles, tous les mots de passe, numéros de sécurité sociale et formulaire de prélèvement restent protégés par un chiffrement RSA sur 2048 bits » via bcrypt, ajoute Patreon.

Aucune action n'est donc nécessaire du côté de l'utilisateur, mais la société recommande tout de même de changer de mot de passe pour plus de sécurité. Des données chiffrées avec une clé RSA sur 2048 bits ne devraient pas en effet être facilement décryptables dans l'immédiat, à condition tout de même que le chiffrement soit fait proprement et sans biais. Dans tous les cas, le serveur de test a été coupé et la société annonce qu'elle a engagé une société externe afin de mener un audit de sécurité pour éviter que cela ne se reproduise. 

Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis

Dans le même temps, aux États-Unis, l'opérateur T-Mobile fait face à une fuite de données concernant près de 15 millions de clients. Une brèche dans la sécurité d'Experian, « un fournisseur qui traite les demandes de crédits », a ainsi permis de récupérer des informations non chiffrées comme le nom, adresse et la date de naissance.

Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d'identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d'informations bancaires comme des numéros de carte ou de compte. 

Le PDG de T-Mobile ajoute qu'il va mener un examen approfondi de « sa relation avec Experian » et que les clients impactés par cette fuite de données peuvent souscrire gratuitement, et pour deux ans, à ProtectMyID Elite, un service proposé par... Experian.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Chez Patreon, un serveur de test avec une base de données bien remplie

Un prestataire de T-Mobile victime d'une brèche, le système de chiffrement compromis

Commentaires (13)




Mais il est aussi question de données chiffrées : numéro de sécurité sociale, ID d’identification (numéro de passeport ou de permis de conduire) et « des informations supplémentaires utilisées par T-Mobile dans sa propre évaluation de crédits ». Problème, Experian ajoute que son système de chiffrement « peut avoir été compromis ». T-Mobile et son prestataire précisent par contre que les données dérobées ne comprenaient pas d’informations bancaires comme des numéros de carte ou de compte.



Tant mieux, ce serait con d’avoir à faire opposition maintenant alors qu’il va falloir refaire entièrement tous ses papiers et cartes quand l’identité des clients aura été usurpée à l’aide des infos personnelles dérobées.


Double faute pour Patreon :

 




  • Ouvrir un serveur de test (donc souvent avec des critères de sécurité moindres) aux Internets

  • Utiliser des données de prod non anonymisées pour leurs tests.

     

     Ok c’est facile de leur taper dessus à postériori, mais quelle bourde !


Vos numéros de cartes de crédit n’ont pas été dérobés… donc ce n’est pas grave, passez votre chemin.

 

Et l’usurpation d’identité, c’est pour les séries TV?


C’est vrai que souvent pour les tests, la galère c’est de “fabriquer” les données nécessaires… Bon ici, la solution a été “trop” facile.


Personne ne dit ca, vous combattez des moulins


En fait, j’exagère un peu, l’anonymisaton des données peut être optionnelle si le risque de fuite est maitrisé.

 

J’ai travaillé avec des bases de données de production “obsolètes” (comprendre an-1 voir an-2) non anonymisées, cependant l’environnement était sécurisé.

 

Actuellement, je travaille avec un collègue chargé de fournir des données à des centaines de projets pour leurs tests, n’ayant pas la maitrise de l’environnement, l’anonymisation est indispensable dans ce cas.


Ils vont kickstarter la mise à niveau de la secu ? <img data-src=" />


Question concernant Patreon, pourquoi il n’y a que les mots de passe et numéro de sécurité sociale qui soient chiffrés et hashés? Pourquoi pas le reste des infos?



OK je ne me ferai pas usurper mon numéro de sécu, mais si je me fais spammer à mort et de manière nominative ça peut aussi être embêtant!


les&nbsp;méthodes de hashage pour les mots de passe sont souvent destructices&nbsp;:

Un algorithme de hashage&nbsp;permet d’obtenir un unique résultat pour une entrée&nbsp;unique et il&nbsp;n’existe normalement pas d’algorithme permettant de reconstituer/décoder l’information à partir du hash.

&nbsp;

&nbsp;C’est pour cela que les hackers utilisent souvent des tables&nbsp; de correspondances&nbsp;pour chaque d’algorithme de&nbsp;hashage qui permettent de retouver les mots de passe basiques&nbsp;à partir du hash .

Mais,&nbsp;pour Patreon, le mdp est aussi crypté avant d’être hashé ce qui rend&nbsp;théoriquement impossible l’utilisation de ces tables, même avec un mot de passe bidon, sauf si&nbsp;leur clé de cryptage est compromise.

&nbsp;

&nbsp;Dans la plupart des mécanismes d’authentification,&nbsp;on compare le résultat du hash d’une chaine donnée avec le hash du mot de passe stocké pour valider ou refuser l’autentification. Pareillement pour les numéros de sécurité social qui sont des données servant aussi&nbsp;à authentifier les personnes.

&nbsp;

&nbsp;Quand les données doivent être exploitées par&nbsp;un programme, elle ne peuvent être détruites par un Hashage. On peu peut-être les crypter si le SGBD le permet mais cela doit se faire à la conception du système,&nbsp;en considérant&nbsp;les contraintes/limitations de volumes de base et surtout de performances, etc.

&nbsp;

&nbsp;C’est pour cette dernière raison que, le&nbsp;plus souvent, ce sont les échanges entre hosts qui sont cryptés plus que les données.

&nbsp;Dans le cas de T-mobile,&nbsp;leurs clées et certificats ont&nbsp;“peut-être” fuités…


Experian c’est pas la première fois qu’ils me pète les couilles eux…


Merci beaucoup pour ces éclaircissements <img data-src=" />


non rien en fait