Avec à sa tête le chercheur en sécurité Bob Diachenko, l'équipe de sécurité de Comparitech a trouvé une base de données MongoDB en lien avec l'Agence du Service Civique qui a été divulguée en ligne avec un accès sur un serveur sans mot de passe ou autre forme d'authentification.
[NEW REPORT] This is the report on the exposure which was rectified with the help of @fs0c131y. Agence du Service Civique (French Civic Service) database with volunteers PII was in the wild for 5+ days. More details: https://t.co/oRIWmtPfMF
— Bob Diachenko (@MayhemDayOne) June 2, 2020
Selon Comparitech, la base de données exposée de 5 Go comprenait les informations de 373 892 volontaires en rapport avec l'application ELISA (application extranet de l'Agence du Service Civique), plus d'un million d'enregistrements d'utilisateurs du site web, ainsi qu'un répertoire avec 1 913 contrats.
Pêle-mêle, des noms complets, adresses email, mots de passe de comptes, adresses postales, numéros de téléphone, documents internes, informations sur des entreprises participantes…
L'équipe de Comparitech a découvert la fuite de données le 30 mai et a prévenu l'Agence du Service Civique le même jour avec l'aide du chercheur en sécurité français Baptiste Robert connu sur Twitter en tant que Elliot Alderson (@fs0c131y).
Il faut signaler l'attitude exemplaire de l'agence nationale du @ServiceCivique et du cabinet de @GabrielAttal devant cet incident majeur. Grâce à cette réponse rapide, nous avons évité le pire et permis la sécurisation des données de plusieurs centaines de milliers de personnes
— Elliot Alderson (@fs0c131y) June 2, 2020
La base de données avait toutefois été indexée par le moteur de recherche Shodan.io à partir du 27 mai et elle a été déployée par un sous-traitant - qui a manifestement commis une erreur de configuration - le 25 mai.
Après l'alerte, la réaction a été rapide puisque l'accès a été bloqué le jour même de celle-ci. Dans un communiqué transmis à Comparitech, l'Agence du Service Civique souligne le déploiement de la base de données sur une plateforme de test et non son site web.
" Notre enquête sur l'historique des accès non autorisés sur cette base de données montre que, à notre connaissance, aucune intrusion malveillante n'a eu lieu sur la plateforme. " L'incident a été signalé à la Cnil. " Un audit complet de tous nos systèmes sera lancé. "
Un tel incident de sécurité avec l'exposition de bases de données à la suite d'une erreur de configuration est loin d'être le premier du genre...