Le Figaro a exposé par erreur des données de lecteurs

Le par  |  3 commentaire(s)
facepalm

Des données personnelles d'utilisateurs ont été exposées via une base de données laissée en libre accès par Le Figaro. Encore une mauvaise configuration de sécurité pour un serveur Elasticsearch.

Dans un communiqué, Le Figaro indique avoir corrigé une faille qui a eu pour conséquence d'exposer des données relatives à la navigation des lecteurs sur son site. Selon le quotidien, qui précise avoir signalé l'incident à la Cnil, il s'agit " d'informations parcellaires, très peu exploitables. "

Le Figaro reconnaît une erreur pendant une opération de maintenance et avec la migration d'un serveur de logs (journaux d'événements sur l'activité du site). " Lors de l'installation de ce nouveau serveur, une erreur a été commise dans le paramétrage de la sécurisation des accès au serveur. "

La migration s'est terminée le 8 avril. À partir de cette date et jusqu'au 28 avril 2020, certaines données ont été exposées, mais Le Figaro assure qu'aucune fuite de données n'a été constatée à ce stade. Autrement dit, pas d'accès malveillant constaté. Les abonnés inscrits concernés vont être contactés.

Selon SafetyDetectives, c'est une base de données de 8 To et avec près de 7,4 milliards d'enregistrements qui a été laissée en libre accès sur un serveur Elasticsearch. Des fichiers contenaient des données personnelles : noms, adresses email et postales, pays, adresses IP, tokens pour l'accès à des serveurs internes.

SafetyDetectives évoque également des mots de passe en clair avec les connexions de nouveaux abonnés et des hash MD5 (un algorithme de hachage obsolète) pour les connexions d'abonnés déjà existants.

safetydetectives-le-figaro-fuite-base-donnees
D'après les chercheurs en sécurité, les logs contenaient des données personnelles d'au moins 42 000 nouveaux utilisateurs inscrits sur Le Figaro entre février et avril 2020. La base de données a été construite en mars 2019.

À la teneur du rapport de SafetyDetectives (qui avait prévenu Le Figaro), les informations ne semblent pas si parcellaires que cela. " La base de données a été complètement exposée au public, sans qu'aucun mot de passe ne soit nécessaire pour y accéder. Toute personne connaissant l'adresse IP de la base de données aurait pu y avoir accès. "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2098213
"Toute personne connaissant l'adresse IP de la base de données aurait pu y avoir accès. " ... Dois-je me tordre de rire ou pleurer face à cette boulette de newbie ?

Je sais que le covid-19 restreint le chiffre d'affaires mais ce n'est pas une raison pour mettre leur plombier à la place de leur codeur !
(sans être péjoratif pour nos plombiers, hein !)
Le #2098247
Ulysse2K a écrit :

"Toute personne connaissant l'adresse IP de la base de données aurait pu y avoir accès. " ... Dois-je me tordre de rire ou pleurer face à cette boulette de newbie ?

Je sais que le covid-19 restreint le chiffre d'affaires mais ce n'est pas une raison pour mettre leur plombier à la place de leur codeur !
(sans être péjoratif pour nos plombiers, hein !)


Quand tu lis le Figaro tu n'as que ce tu mérites
Le #2099007
"SafetyDetectives évoque également des mots de passe en clair "

Ils stockent les données en clair ?
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme