Open\nExchange Rates, un fournisseur de donn\u00e9es de taux de change en ligne, a\nr\u00e9cemment expos\u00e9 ses donn\u00e9es utilisateur via une base de donn\u00e9es Amazon. La\nquantit\u00e9 de donn\u00e9es utilisateur n’a pas \u00e9t\u00e9 divulgu\u00e9e, mais l’annonce elle-m\u00eame\na \u00e9t\u00e9 publi\u00e9e sur Twitter cette semaine. <\/p>\n\n\n\n
Annonce\nd’une violation de la base de donn\u00e9es des utilisateurs<\/strong><\/p>\n\n\n\n L’entreprise\nelle-m\u00eame est un fournisseur de donn\u00e9es sur les devises \u00e9trang\u00e8res, et ce pour\nplus de 200 devises dans le monde, y compris les devises num\u00e9riques. Tout\nd\u00e9veloppeur de logiciels peut y acc\u00e9der, en exploitant l’API de l’entreprise.\nCela permet aux applications d’interroger le service Open Exchange Rates, qui\npeut ensuite fournir les r\u00e9sultats dans un format .JSON lisible par une machine\nou par l’homme.<\/p>\n\n\n\n L’entreprise\nexploite ce service en utilisant le r\u00e9seau en nuage d’Amazon Web Services.\nCependant, la soci\u00e9t\u00e9 a fait l’objet d’une violation\nde s\u00e9curit\u00e9<\/a><\/strong> qui s’est produite d\u00e8s le 9 f\u00e9vrier 2020. <\/p>\n\n\n\n L’annonce\nde la violation elle-m\u00eame a eu lieu le 12 mars 2020, la soci\u00e9t\u00e9 ayant alors\nenvoy\u00e9 des notifications \u00e0 ses clients. Sylvia Van Os a tweet\u00e9 cette\nnotification au public, van Os \u00e9tant une ing\u00e9nieur Open Source et Linux.<\/p>\n\n\n\n Une\nattaque explicite contre l’entreprise<\/strong><\/p>\n\n\n\n Ce\nqui est important \u00e0 noter, c’est que cette violation de donn\u00e9es semblait \u00eatre\nune attaque cibl\u00e9e, au lieu des incidents d’exposition typiques des AWS\nhabituellement signal\u00e9s. <\/p>\n\n\n\n Cette\nviolation de donn\u00e9es n’a pas \u00e9t\u00e9 attribu\u00e9e \u00e0 une exposition au S3 ou \u00e0 un acc\u00e8s\npublic \u00e0 une base de donn\u00e9es, qui s’est fait par une mauvaise configuration de\nla base de donn\u00e9es ou du Cloud. Au lieu de cela, il semble qu’un acteur\nmalveillant ait express\u00e9ment cibl\u00e9 les taux de change ouverts.<\/p>\n\n\n\n La\nsoci\u00e9t\u00e9 a d\u00e9clar\u00e9 que les rapports ont commenc\u00e9 \u00e0 arriver, en ce qui concerne\nla performance de son API, le 2 mars 2020. Cela a conduit l’entreprise \u00e0 une\nmauvaise configuration de son r\u00e9seau. Cependant, lorsque le probl\u00e8me a \u00e9t\u00e9\nr\u00e9solu, il est apparu qu’un compte non autoris\u00e9 s’\u00e9tait immisc\u00e9 dans\nl’environnement AWS, ce qui avait \u00e9t\u00e9 \u00e0 l’origine de la mauvaise configuration.\n<\/p>\n\n\n\n L’annonce\na r\u00e9v\u00e9l\u00e9 que ce compte non autoris\u00e9 avait utilis\u00e9 une cl\u00e9 d’acc\u00e8s s\u00e9curis\u00e9e\ncompromise pour modifier l’environnement AWS.<\/p>\n\n\n\n Une\nexposition de longue dur\u00e9e des donn\u00e9es des utilisateurs<\/strong><\/p>\n\n\n\n Lorsque\nla soci\u00e9t\u00e9 a ferm\u00e9 l’acc\u00e8s \u00e0 cet utilisateur pour r\u00e9gler le probl\u00e8me, il s’est\nav\u00e9r\u00e9 que ce compte avait r\u00e9ussi \u00e0 acc\u00e9der \u00e0 une base de donn\u00e9es contenant les\ndonn\u00e9es de l’utilisateur. Dans sa d\u00e9claration publique, la soci\u00e9t\u00e9 a expliqu\u00e9\nqu’il existe des preuves que ces donn\u00e9es ont \u00e9t\u00e9 extraites de son r\u00e9seau. Cependant,\nla soci\u00e9t\u00e9 s’est empress\u00e9e d’affirmer qu’elle enqu\u00eatait toujours sur cette\nquestion.<\/p>\n\n\n\n Les\ndonn\u00e9es qui ont \u00e9t\u00e9 viol\u00e9es comprennent celles des noms enregistr\u00e9s et des\nadresses \u00e9lectroniques. En outre, il y avait des mots\nde passe<\/a><\/strong> d’acc\u00e8s \u00e0 des comptes crypt\u00e9s, les adresses IP de\ndivers utilisateurs, ainsi que des jetons qui sont utilis\u00e9s pour authentifier\nles applications de requ\u00eate. <\/p>\n\n\n\n Pour\ncouronner le tout, si un utilisateur a divulgu\u00e9 son adresse personnelle, son\nadresse professionnelle, son adresse web ou son pays de r\u00e9sidence, ces\ninformations ont \u00e9galement \u00e9t\u00e9 compromises lors de la violation.<\/p>\n\n\n\n Avertissements\nen cas d’usurpation d’identit\u00e9 et de fraude<\/strong><\/p>\n\n\n\n La\nd\u00e9claration a averti le public que ces criminels pourraient exploiter les\ndonn\u00e9es qui auraient pu \u00eatre extraites. Les donn\u00e9es qui pourraient \u00eatre\nextraites pourraient servir \u00e0 tout, de l’ing\u00e9nierie sociale \u00e0 la fraude en\npassant par le vol d’identit\u00e9. Ce n’est pas une bonne fa\u00e7on de voir les choses,\nmais il est essentiel de les aborder, quoi qu’il en soit.<\/p>\n\n\n\n Afin\nd’essayer de prot\u00e9ger ses utilisateurs, Open Exchange Rates a adopt\u00e9 des\nmesures de pr\u00e9caution. Ces mesures comprennent la r\u00e9initialisation de tous les\nmots de passe de ses diff\u00e9rents utilisateurs. En outre, les clients sont cens\u00e9s\nr\u00e9initialiser leurs jetons d’application, car l’entreprise a estim\u00e9 que les\ngens pouvaient s’en servir pour utiliser ses services \u00e0 la place d’une victime\nnon consentante.<\/p>\n\n\n\n Les\nsages se taisent<\/strong><\/p>\n\n\n\n Dans\nl’\u00e9tat actuel des choses, l’entreprise s’est abstenue de tout commentaire sur\nla question en g\u00e9n\u00e9ral. Pour l’instant, c’est peut-\u00eatre la meilleure d\u00e9cision \u00e0\nprendre, car une d\u00e9claration publique prise de la mauvaise mani\u00e8re nuirait au\nmoral des gens. <\/p>\n\n\n\n L’entreprise\nva sans aucun doute prendre un coup dans l’opinion publique \u00e0 cause de cette\nbr\u00e8che, mais il est important de se rappeler qu’essayer de lutter\ncontre la cybercriminalit\u00e9<\/a><\/strong>, c’est comme essayer de pousser la\nmer. <\/p>\n\n\n\n Plus\nune entreprise est prise pour cible, plus les tentatives de violation sont\nnombreuses. En raison de la quantit\u00e9, certaines y parviennent. Tout ce que\nl’entreprise peut faire, c’est emp\u00eacher que cela se produise de cette mani\u00e8re\nsp\u00e9cifique, plus jamais.<\/p>\n","protected":false},"excerpt":{"rendered":"