445 millions de clients trouvés dans la BDD MongoDB et serveur AWS !

Une base de données de 445 millions d’enregistrements clients a été trouvée sur un serveur ouvert sur Amazon Web Services. La base de données, qui contient les coordonnées du spécialiste de la sauvegarde et de la récupération de données Veeam, a été découverte par Bob Diachenki, chercheur en sécurité. Il dit qu’il a découvert la mine d’informations personnelles le 5 septembre, mais qu’elle a été retirée ou déconnectée quatre jours plus tard – probablement, dit-il, après avoir contacté l’entreprise. Selon Diachenko, chercheur et journaliste en sécurité, la base de données MongoDB a été indexée par Shodan, le moteur de recherche qui indexe les appareils connectés à Internet, le 31 août.

Que comprenait cette base de données ?

La base de données de 200 Go “comprenait de vastes masses de données qui sont apparemment utilisées par l’équipe d’automatisation du marketing de Veeam pour atteindre leurs clients en utilisant Marketo”, a écrit Diachenko dans un blog écrivant la découverte. Marketo est une solution d’automatisation du marketing largement utilisée. L’énorme volume de données – et sa publication en ligne – peut donner lieu à une enquête au titre du règlement général sur la protection des données (GDPR). En plus d’alerter Veeam, Diachenko a également partagé l’information avec le journaliste de TechCrunch Zack Whittaker.

“La base de données de plus de 200 gigaoctets[comprend] deux collections qui avaient respectivement 199,1 millions et 244,4 millions d’adresses électroniques et d’enregistrements sur une période de quatre ans entre 2013 et 2017. Sans le téléchargement de l’ensemble des données, on ne sait pas combien d’enregistrements sont des doublons “, a écrit Whittaker.

Un porte-parole de Veeam a affirmé que l’entreprise mènerait une enquête et “prendrait les mesures appropriées” en contreéquence. Ils ont ajouté que l’entreprise a veillé à ce que toutes les bases de données de Veeam soient désormais sécurisées de manière appropriée.

Cependant, BleepingComputing a fait remarquer que les bases de données MongoDB mal configurées – le logiciel était à l’origine distribué sans fonctions de sécurité activées par défaut – devrait appartenir au passé étant donné le nombre de fuites de données impliquant des bases de données MongoDB mal configurées.