Des centaines d’applications mobiles ont révélé des fuites d’informations d’identification d’Amazon Web Services (AWS).
Une analyse récente de Symantec (s’ouvre dans un nouvel onglet) a identifié 1 859 applications accessibles au public, dont 98 % sont des applications iOS, contenant des informations d’identification AWS codées en dur qui pourraient mettre vos données en danger.
La société a découvert que plus des trois quarts (77 %) des applications contenaient des jetons d’accès AWS valides permettant d’accéder aux services de cloud AWS privés, et près de la moitié (47 %) contenaient des jetons AWS valides qui donnaient également un accès complet à de nombreux, souvent des millions, de fichiers privés via Amazon Simple Storage Service (Amazon S3).
Fuites de mots de passe AWS
Selon le chercheur en sécurité Kevin Watkins, certaines des raisons des vulnérabilités incluent l’utilisation inconnue de bibliothèques de logiciels externes vulnérables et de SDK, l’externalisation du développement d’applications et la collaboration entre équipes qui pourraient présenter de nombreuses opportunités d’informations manquantes et de communication inefficace.
L’analyse met en évidence trois exemples concrets d’entreprises concernées. La première, une entreprise B2B anonyme qui fournit un intranet et une plate-forme de communication, avait fourni à ses clients un SDK mobile qui exposait les clés de l’infrastructure cloud de l’entreprise, exposant des éléments tels que des dossiers financiers et des données privées.
Le deuxième exemple cite un certain nombre d’applications bancaires iOS qui ont externalisé le composant d’identification numérique et d’authentification de leurs applications respectives. Les utilisateurs concernés de ce SDK ont vu leurs données personnelles exposées, y compris leurs noms et dates de naissance. En outre, plus de 300 000 empreintes digitales biométriques ont été divulguées par cinq applications bancaires.
Enfin, une entreprise d’accueil et de divertissement qui s’était associée à une autre entreprise pour partager sa plate-forme technologique s’est avérée exposer les données commerciales et clients d’une bibliothèque utilisée par 16 applications différentes.
Les résultats de la recherche ont été partagés avec les entreprises concernées, mais on ne sait pas encore si les problèmes ont été résolus avec effet immédiat.
Via ordinateur Bleeping (s’ouvre dans un nouvel onglet)