La base de données d’un courtier hypothécaire canadien contenant des informations personnelles sur des milliers de personnes a été laissée ouverte sur Internet, selon des chercheurs en sécurité.
Accès à la base de données appartenant à Toronto 8Douze technologies financières a été rapidement restreint après que l’entreprise a été informée par le chercheur Jeremy Folwer et le personnel de Website Planet, qui propose des ressources pour les créateurs de sites Web.
Selon un rapport publié aujourd’hui, la base de données contient 717 814 enregistrements sur des milliers de résidents canadiens, avec des informations sur les prêts hypothécaires à domicile, notamment des noms, des numéros de téléphone, des adresses électroniques, des adresses physiques, etc. De nombreux dossiers semblaient être des pistes hypothécaires de personnes souhaitant acheter une maison, refinancer, obtenir une ligne de crédit sur capitaux propres ou acheter un immeuble de placement, indique le rapport.
“Nous avons immédiatement envoyé un avis de divulgation responsable et 8Twelve a agi rapidement et de manière professionnelle en restreignant l’accès du public dans les heures suivant notre découverte”, déclarent les chercheurs.
Dans une interview, le président et CIO de 8Twelve Financial, Akber Abbas, a déclaré qu’un membre du personnel avait commis une erreur en décembre lors du transfert de données vers un compartiment AWS. “Cet incident s’est produit lorsqu’un de nos analystes de rapports travaillait sur une migration et a accidentellement laissé l’un des ports ouverts. Il a été rapidement identifié grâce à nos tests d’intrusion. Aucune donnée n’a été supprimée de notre serveur. Cette personne a ensuite été licenciée de l’organisation. Nous avons maintenant des solutions en place pour nous protéger à l’avenir.
Quant aux chercheurs qui ont découvert l’erreur, Abbas a déclaré : “Nous l’avons réalisé nous-mêmes avant qu’ils ne nous en informent”.
Abbas a déclaré que les réponses de l’entreprise comprenaient une collaboration avec des consultants en sécurité pour combler les lacunes.
Lorsqu’on lui a demandé si l’incident était embarrassant, il a répondu: «Oui. Vous ne voulez jamais être dans ce type de poste. La réalité du paysage de la sécurité est que les choses changent très rapidement. Nous avons depuis [the incident] mis en place un certain nombre de contrôles supplémentaires au cours des quatre dernières semaines au-dessus de ce que nous faisons… pour être aussi proactif que possible.
Abbas ne savait pas si son entreprise avait informé un organisme de réglementation de la violation des contrôles de sécurité.
La société a deux secteurs d’activité : 8Twelve Mortgage pour les prêts hypothécaires, qui, selon le site de la société, négocie avec 65 prêteurs pour trouver les meilleurs taux hypothécaires dans la région de North York à Toronto ; et 8T Capital, qui propose des prêts à court terme.
Cette violation apparente des contrôles de sécurité n’est que la dernière d’une série de bases de données d’entreprise trouvées sans protection sur Internet. Souvent, ces fichiers mal configurés sont téléchargés sur des sites de stockage en nuage comme Amazon AWS, où les créateurs les placent temporairement ou ont l’intention de faire une analyse de données, puis oublient de protéger les fichiers par mot de passe ou de s’assurer qu’ils ne sont pas connectés à l’Internet public. .
Un blog du fournisseur SecurityTrails note que certaines des erreurs de base de données les plus courantes impliquent l’utilisation d’Elasticsearch, une base de données permettant de stocker et d’analyser de grandes quantités de données. Elasticsearch se lie par défaut à localhost uniquement, note l’article, ce qui est suffisamment sécurisé. Mais, ajoute-t-il, pour rendre Elasticsearch utilisable dans une organisation, les administrateurs de base de données commettent souvent l’erreur de lier Elasticsearch à l’interface du réseau public sans le pare-feu.
Un excellent outil pour trouver des bases de données exposées est le moteur de recherche Shodan, qui trouve tout ce qui est connecté à Internet. Comme le notait un article de 2017 sur les bases de données exposées dans Wiredsi vous voulez trouver toutes les bases de données MongoDB connectées à l’Internet public, tapez simplement “MongoDB” dans Shodan. Toutes les bases de données trouvées ne contiendront pas d’informations personnelles sensibles, mais certaines pourraient le faire.
Selon Website Planet, la base de données contenait :
- 717 814 enregistrements. La base de données contenait un dossier nommé « demandeur » et cinq dossiers nommés « demande » ;
- noms des candidats, e-mails, numéros de téléphone au travail, à la maison et cellulaire. Certains enregistrements contenaient des adresses physiques, état ou province. Comme la plupart des données pourraient concerner un individu spécifique, les données trouvées dans les dossiers pourraient être considérées comme des informations personnelles identifiables (PII) ;
- dans un échantillon aléatoire de 10 000 enregistrements, le terme « e-mail » a renvoyé 18 382 résultats. Chaque enregistrement affiché contenait deux adresses e-mail ; un appartenant au demandeur accompagné d’un correspondant de l’agent 8Twelve qui s’est vu confier la direction. Presque tous les services de messagerie courants sont apparus dans les données, notamment Gmail (13 695 résultats) et Yahoo (3 406), ainsi qu’Outlook, iCloud, AOL et un plus petit nombre de plusieurs autres fournisseurs de messagerie.
- les pistes hypothécaires de plusieurs provinces canadiennes ont été recueillies dans plusieurs dossiers portant la mention « Prod » (ce qui, selon nous, signifie « production »). Les enregistrements semblaient indiquer d’où provenaient les prospects : publicités Facebook, référence, site Web, etc.
- les informations fournies par les candidats sur leur propre situation financière, sous la forme de leurs cotes de crédit, de leur faillite, de leurs économies, de leurs finances et d’autres données pour démarrer le processus de demande de prêt. Aux fins d’évaluation du crédit, les agents hypothécaires peuvent avoir besoin de déterminer la solvabilité d’un demandeur en divulguant les informations financières susmentionnées à une agence d’évaluation du crédit indépendante ou à une autre source.
- les dossiers comprenaient également 8 Douze noms d’employés, adresses e-mail et notes internes sur le prêt ou le client potentiel, indiquant si le demandeur était solvable ou non.
(Cette histoire a été mise à jour à partir de l’original avec l’ajout de commentaires d’Akber Abbas)