On a l’impression que tous les deux jours, une autre startup technologique est surprise en train de répandre des tonnes de données sur Internet en raison d’une faille de sécurité. Mais même pour les géants de la technologie comme Amazon, il est facile de faire des erreurs.
Chercheur en sécurité Anurag Sen a trouvé une base de données contenant les habitudes de visionnage d’Amazon Prime stockées sur un serveur Amazon interne accessible depuis Internet. Mais comme la base de données n’était pas protégée par un mot de passe, les données qu’elle contenait étaient accessibles à toute personne disposant d’un navigateur Web simplement en connaissant son adresse IP.
La base de données Elasticsearch – nommée « Sauron » (faites-en ce que vous voulez) – contenait environ 215 millions d’entrées de données de visionnage pseudonymisées, telles que le nom de l’émission ou du film en cours de diffusion, l’appareil sur lequel il a été diffusé et d’autres des données internes, comme la qualité du réseau et des détails sur leur abonnement, par exemple s’ils sont un client Amazon Prime.
Selon Shodan, un moteur de recherche d’objets connectés à Internet, la base de données a été détectée pour la première fois comme étant exposée à Internet le 30 septembre.
Bien qu’il soit déconcertant qu’une entreprise de la taille et de la richesse d’Amazon puisse laisser un si grand cache de données sur Internet pendant des semaines sans que personne ne s’en aperçoive, d’après notre examen, les données ne peuvent pas être utilisées pour identifier personnellement les clients par leur nom. Mais la défaillance met en évidence un problème commun qui sous-tend de nombreuses expositions de données : des serveurs Internet mal configurés qui sont laissés en ligne sans mot de passe pour que quiconque puisse y accéder.
Sen a fourni des détails sur la base de données dans le but de sécuriser les données, et TechCrunch a transmis les informations à Amazon par prudence. La base de données était inaccessible peu de temps après.
« Il y a eu une erreur de déploiement avec un serveur d’analyse Prime Video. Ce problème a été résolu et aucune information de compte (y compris les informations de connexion ou de paiement) n’a été exposée. Ce n’était pas un problème AWS ; AWS est sécurisé par défaut et exécuté comme prévu », a déclaré le porte-parole d’Amazon, Adam Montgomery.