FreshBooks, une startup canadienne licorne qui crée un logiciel de comptabilité cloud, a conservé un seau de stockage Amazon Web Services (AWS) contenant des informations sensibles sur les employés non protégées sur Internet, à la disposition de quiconque savait où chercher, ont affirmé des experts.
En conséquence, plus de 30 millions de ses utilisateurs, dans plus de 160 pays à travers le monde, ont été exposés au risque d’usurpation d’identité et d’autres cybercrimes.
L’alerte a été lancée par la Cybernews (s’ouvre dans un nouvel onglet) équipe de recherche, qui a découvert la base de données fin janvier 2023.
Mots de passe facilement craqués
À première vue, il contenait des images de stockage et des métadonnées de son blog, mais une analyse plus approfondie a découvert des sauvegardes du code source du site Web, ainsi que des informations sur le site, des configurations et des données de connexion pour 121 WordPress. (s’ouvre dans un nouvel onglet) utilisateurs. Les données de connexion – noms d’utilisateur, adresses e-mail et mots de passe de hachage – appartenaient aux administrateurs du site. Ils ont été hachés à l’aide d’un cadre de hachage MD5/phpass « facilement craquable », ont déclaré les chercheurs, suggérant qu’il était relativement facile d’obtenir les informations en clair.
Avec ces informations, selon l’équipe de Cybernews, les acteurs de la menace auraient pu accéder au backend du site Web et apporter des modifications non autorisées à son contenu. Ils auraient pu analyser le code source, comprendre le fonctionnement du site Web et trouver d’autres vulnérabilités à vendre ou à exploiter. En fait, une sauvegarde de serveur de 2019 contenait « au moins cinq » plugins vulnérables installés sur le site Web à l’époque, ont découvert les chercheurs.
Dans un scénario encore plus dangereux, ils auraient pu installer des logiciels malveillants, se déplacer latéralement sur le réseau et voler des données sensibles.
Il y a cependant une mise en garde à l’exploitation de la vulnérabilité : « La page de connexion du site Web au panneau d’administration était sécurisée et non accessible au public », expliquent les chercheurs. « Cependant, les attaquants pourraient toujours contourner cette mesure de sécurité en se connectant au même réseau que le site Web ou en trouvant et en exploitant un plugin WordPress vulnérable. »
Via : Cybernews (s’ouvre dans un nouvel onglet)