Shoemaker Ecco exploite une base de données mal configurée depuis plus d’un an, exposant une énorme tranche d’informations sensibles à quiconque savait où chercher.
C’est selon un nouveau rapport de Cyberactualité (s’ouvre dans un nouvel onglet), dont l’équipe de recherche a récemment identifié 50 indices Ecco exposés au public. Au total, la base de données contient plus de 60 Go de données sensibles disponibles depuis juin 2021.
« Des millions de documents sensibles, des ventes aux informations système, étaient accessibles. Toute personne ayant accès pourrait avoir consulté, modifié, copié et volé ou supprimé les données », ont déclaré les chercheurs.
Requêtes API
Alors qu’Ecco est intervenu pour remédier au problème entre-temps, ils n’ont pas commenté les conclusions de Cybernews. La base de données semble être verrouillée maintenant, ont déclaré les chercheurs.
En parcourant le Web à la recherche de bases de données non sécurisées ou mal configurées, l’équipe de recherche a trouvé une instance exposée hébergeant Kibana, un tableau de bord de visualisation ElasticSearch, pour Ecco. Kibana, comme l’ont expliqué les chercheurs, aide à traiter les informations d’ElasticSearch.
L’instance hébergeant le tableau de bord était protégée par une authentification HTTP, mais le serveur était (mal) configuré de manière à autoriser le passage des requêtes API. En utilisant cette faille, les chercheurs ont recherché les noms d’index sur ElasticSearch d’Ecco, voyant 50 index exposés avec plus de 60 Go de données.
Les données contenaient toutes sortes d’informations sensibles, des ventes et du marketing aux informations de journalisation et de système, ont déclaré les chercheurs. Un index, sales_org, contient plus de 300 000 documents. Un répertoire appelé market_specific_quality_dashboard contenait plus de 820 000 enregistrements.
Il existe plusieurs façons pour un acteur menaçant d’utiliser la base de données, ont-ils expliqué en outre, affirmant que le code visible aurait pu être modifié, ainsi que la dénomination et les URL, le tout pour mener des campagnes de phishing, le vol d’identité. (s’ouvre dans un nouvel onglet)ou pour inciter les gens à exécuter des logiciels malveillants et des rançongiciels.
De plus, la base de données n’est pas destinée à un avant-poste Ecco local, mais plutôt au site Web mondial ecco.com. Entre les mains d’un cybercriminel expérimenté, les fichiers pourraient être un outil majeur pour attaquer l’entreprise à l’échelle mondiale. Les magasins Ecco, ses employés, ainsi que les clients et clients.