Accueil High-Tech Vos données les plus sensibles sont probablement exposées en ligne. Ces gens essaient de le trouver

Vos données les plus sensibles sont probablement exposées en ligne. Ces gens essaient de le trouver

0
0
  • Centrale d'alarme haute-résistance transmetteur GSM sans-fil KP-HD - Usage industriel boîtier métal avec clés (gamme KP)
  • Kit alerte GSM sans-fil spécial porte et fenêtre anti-effraction - Centrale KP-9 2G (gamme KP)

Justin Paine est assis dans un pub d'Oakland, en Californie, cherchant sur Internet vos données les plus sensibles. Il ne tarde pas à trouver une piste prometteuse.

Il ouvre Shodan, un index interrogeable de serveurs cloud et d’autres périphériques connectés à Internet, sur son ordinateur portable. Ensuite, il tape le mot clé "Kibana", qui révèle plus de 15 000 bases de données stockées en ligne. Paine commence à fouiller dans les résultats, une assiette de filets de poulet et de frites devenant froide à côté de lui.

"Celui-ci vient de Russie. Celui-ci vient de Chine", a déclaré Paine. "Celui-ci est juste grand ouvert."

À partir de là, Paine peut examiner chaque base de données et en vérifier le contenu. Une base de données semble avoir des informations sur le service de chambre d'hôtel. S'il continue à chercher plus profondément, il pourrait trouver des numéros de carte de crédit ou de passeport. Ce n'est pas exagéré. Dans le passé, il avait trouvé des bases de données contenant des informations sur les patients provenant de centres de traitement de la toxicomanie, ainsi que des archives d'emprunt de bibliothèque et des transactions de jeu en ligne.

Paine fait partie d'une armée informelle de chercheurs sur le Web qui s'adonnent à une obscure passion: fouiller sur Internet pour trouver des bases de données non sécurisées. Les bases de données – non cryptées et à la vue – peuvent contenir toutes sortes d'informations sensibles, y compris noms, adresses, numéros de téléphone, coordonnées bancaires, numéros de sécurité sociale et diagnostics. Entre de mauvaises mains, les données pourraient être exploitées à des fins de fraude, d'usurpation d'identité ou de chantage.

La communauté de recherche de données est à la fois éclectique et globale. Certains de ses membres sont des experts en sécurité professionnels, d'autres des passionnés. Certains sont des programmeurs avancés, d'autres ne peuvent pas écrire une ligne de code. Ils sont en Ukraine, en Israël, en Australie, aux États-Unis et dans presque tous les pays que vous nommez. Ils partagent un objectif commun: inciter les propriétaires de bases de données à verrouiller vos informations.

La recherche de données non sécurisées est un signe des temps. Toute organisation – entreprise privée, organisme à but non lucratif ou gouvernemental – peut stocker des données sur le cloud de manière simple et économique. Mais de nombreux outils logiciels qui permettent de mettre des bases de données sur le cloud laissent ces données exposées par défaut. Même lorsque les outils rendent les données privées dès le départ, toutes les organisations ne possèdent pas l'expertise nécessaire pour savoir qu'elles doivent laisser ces protections en place. Souvent, les données restent en texte brut et attendent d'être lues. Cela signifie qu'il y aura toujours quelque chose à trouver pour des personnes comme Paine. En avril, des chercheurs israéliens ont trouvé des informations démographiques sur plus de 80 millions de ménages américains, notamment leurs adresses, leur âge et leur niveau de revenu.

Personne ne sait à quel point le problème est grave, déclare Troy Hunt, un expert en cybersécurité qui a décrit le problème des bases de données exposées sur son blog. Il existe beaucoup plus de bases de données non sécurisées que celles annoncées par les chercheurs, mais vous ne pouvez compter que celles que vous pouvez voir. De plus, de nouvelles bases de données sont constamment ajoutées au cloud.

"C'est l'une de ces situations extrêmes", a déclaré Hunt.

Pour chasser des bases de données, vous devez avoir une tolérance élevée à l'ennui et une tolérance supérieure à la déception. Paine a déclaré qu'il faudrait des heures pour déterminer si la base de données sur le service de chambre d'hôtel était en réalité une mémoire cache de données sensibles exposées. Se pencher sur les bases de données peut être angoissant et tend à être rempli de fausses pistes. Ce n'est pas comme chercher une aiguille dans une botte de foin; c'est comme chercher dans des champs de meules de foin en espérant que l'on pourrait contenir une aiguille. De plus, rien ne garantit qu’ils seront en mesure d’inviter les propriétaires d’une base de données exposée à résoudre le problème. Parfois, le propriétaire menacera plutôt une action en justice.

Base de données jackpot

Vos identifiants de connexion pourraient être sur le nuage pour que n'importe qui les récupère.

Camaraderielimited

Le gain, cependant, peut être un frisson. Bob Diachenko, qui cherche des bases de données dans son bureau en Ukraine, travaillait auparavant en relations publiques pour une société appelée Kromtech, qui avait appris qu'une de ses données avait été violée par un chercheur en sécurité. L'expérience l'intrigua et il plongea dans des bases de données de chasse sans expérience. En juillet, il a trouvé des informations sur des milliers d’électeurs américains dans une base de données non sécurisée, simplement en utilisant le mot-clé "électeur".

"Si moi, un gars sans formation technique, peux trouver ces données", a déclaré Diachenko, "alors tout le monde dans le monde peut trouver ces données".

En janvier, Diachenko a découvert 24 millions de documents financiers relatifs aux prêts hypothécaires américains et à la banque sur une base de données exposée. La publicité générée par la découverte, ainsi que d’autres, aide Diachenko à promouvoir SecurityDiscovery.com, une entreprise de conseil en cybersécurité qu’il a créée après avoir quitté son emploi précédent.

Faire connaître un problème

Chris Vickery, directeur de la recherche sur les cyber-risques chez UpGuard, a déclaré que les grosses découvertes avaient pour effet de sensibiliser et d'aider les entreprises soucieuses de leurs affaires à veiller à ce que leurs noms ne soient pas associés à des pratiques négligées. Même si les entreprises ne choisissent pas UpGuard, explique-t-il, le caractère public des découvertes favorise la croissance de son domaine.

Plus tôt cette année, Vickery a cherché quelque chose de grand en recherchant le terme "Data Lake" [Lac de données], un terme désignant de grandes compilations de données stockées dans plusieurs formats de fichiers.

La recherche a aidé son équipe à réaliser l’une des découvertes les plus importantes à ce jour, une cache de 540 millions d’enregistrements Facebook comprenant des noms d’utilisateur, des identifiants Facebook et environ 22 000 mots de passe stockés sans cryptage sur le cloud. Les données avaient été stockées par des sociétés tierces, pas par Facebook elle-même.

"Je me balançais pour les clôtures", a déclaré Vickery, décrivant le processus.

Obtenir la sécurité

Facebook a déclaré qu'il avait agi rapidement pour obtenir la suppression des données. Mais toutes les entreprises ne sont pas aussi réactives.

Lorsque les chasseurs de bases de données ne peuvent pas faire répondre une entreprise, ils se tournent parfois vers un rédacteur spécialisé dans la sécurité utilisant le pseudonyme Dissent. Elle cherchait elle-même des bases de données non sécurisées, mais passe maintenant tout son temps à inciter les entreprises à réagir aux expositions de données découvertes par d'autres chercheurs.

"Une réponse optimale est" Merci de nous le faire savoir. Nous le sécurisons et nous avertissons les patients ou les clients et les régulateurs concernés "", a déclaré Dissent, qui a demandé à être identifiée par son pseudonyme afin de protéger sa vie privée. .

Toutes les entreprises ne comprennent pas ce que cela signifie que des données soient exposées, ce que Dissent a documenté sur son site Web, Databreaches.net. En 2017, Diachenko a sollicité son aide pour signaler les dossiers médicaux exposés d'un fournisseur de logiciels financiers à un hôpital de la ville de New York.

C'est un peu comme une drogue.

Justin Paine

L'hôpital a décrit l'exposition comme un piratage, même si Diachenko avait simplement trouvé les données en ligne et n'avait pas enfreint de mots de passe ni de cryptage pour les voir. La dissidence a écrit un billet de blog expliquant qu'un entrepreneur de l'hôpital avait laissé les données non sécurisées. L'hôpital a engagé une société informatique externe pour enquêter.

Des outils bons ou mauvais

Les outils de recherche utilisés par les chasseurs de bases de données sont puissants.

Assis dans le pub, Paine me montre l'une de ses techniques, qui, selon lui, a été "piratée avec différents outils" lui permettant de trouver des données exposées sur les bases de données Amazon Web Services. L'approche de fortune est nécessaire car les données stockées sur le service cloud d'Amazon ne sont pas indexées sur Shodan.

Il ouvre tout d'abord un outil appelé Bucket Stream, qui recherche dans les journaux publics des certificats de sécurité dont les sites Web ont besoin pour accéder à la technologie de cryptage. Les journaux permettent à Paine de rechercher les noms de nouveaux "compartiments" ou conteneurs de données stockés par Amazon et de vérifier s'ils sont visibles par le public.

Ensuite, il utilise un outil séparé pour créer une base de données interrogeable contenant ses découvertes.

Pour quelqu'un qui cherche des caches de données personnelles dans les coussins d'Internet, Paine n'affiche pas la joie ou la consternation lorsqu'il examine les résultats. Ceci est juste la réalité de l'internet. Il est rempli de bases de données qui devraient être verrouillées derrière un mot de passe et cryptées, mais ne le sont pas.

Idéalement, les entreprises embaucheraient des experts pour faire le travail qu'il fait, dit-il. Les entreprises, dit-il, devraient "s'assurer que vos données ne fuient pas".

Si cela se produisait plus souvent, Paine devrait avoir un nouveau passe-temps. Mais cela pourrait être difficile pour lui.

"C'est un peu comme une drogue", dit-il avant de se plonger dans ses frites et son poulet.

  • 3x Détecteurs de fumée Nemaxx FL10 - détecteurs de fumée de bonne qualité avec batterie au lithium avec une longue durée de vie de 10 ans - selon la norme DIN EN 14604
  • 10x détecteur de fumée Nemaxx FL2 - détecteur de fumée de qualité et selon la norme EN 14604 avec la technologie photoélectrique sensible
Chargez plus d'articles en relation
Chargez plus par Camaractu
CHargez plus dans High-Tech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Regardez aussi

La nouvelle bande-annonce de Disney, Mulan, donne vie à l'action des guerriers

Chaussures de sécurité U Power Dea S1P SRC 97,49 € HAIX Fire Eagle High 269,90 € Disney a …