Le géant de l’externalisation basé à Londres, Capita, a laissé une mine de données exposées en ligne pendant sept ans, a appris TechCrunch, quelques semaines seulement après que l’entreprise a admis une violation de données pouvant avoir un impact sur les données des clients.
Requérant l’anonymat, un chercheur en sécurité a alerté TechCrunch d’un Amazone-seau de stockage hébergé, qui a été sécurisé par Capita la semaine dernière.
Le bucket AWS, qui, selon le chercheur, avait été exposé à Internet depuis 2016, contenait environ 3 000 fichiers d’une taille totale de 655 Go. Il n’y avait pas de mot de passe sur le compartiment, permettant à quiconque connaissait l’adresse Web facile à deviner d’accéder aux fichiers. Les détails du serveur cloud exposé ont également été capturés par GrayHatWarfare, une base de données consultable qui indexe le stockage cloud visible publiquement.
Les données exposées comprenaient des fichiers logiciels, des images de serveur, de nombreuses feuilles de calcul Excel, des présentations PowerPoint et des fichiers texte, selon un échantillon de noms de fichiers examinés par TechCrunch. L’un des fichiers texte contenait des informations de connexion pour l’un des systèmes de Capita, a déclaré le chercheur en sécurité à TechCrunch, et certains noms de fichiers suggérant que des données étaient téléchargées dans le compartiment exposé pas plus tard que cette année.
Il n’est pas clair si des données appartenant aux clients de Capita, une liste qui comprend le National Health Service du Royaume-Uni et le Department for Work and Pensions, étaient contenues dans ces fichiers. « Je vais supposer que certaines de ces choses ne sont pas censées être disponibles sur Internet, étant donné qu’ils ont fermé le seau depuis », a déclaré le chercheur en sécurité à TechCrunch.
Capita a été alerté de la violation de données fin avril et a sécurisé le seau la même semaine. Le chercheur en sécurité, qui a informé Capita de la violation, a déclaré à TechCrunch que bien que le seau exposé ait été rapidement fermé, l’entreprise n’a pas de programme de divulgation responsable ni de contact de sécurité dédié.
La porte-parole de Capita, Elizabeth Lee, a déclaré à TechCrunch dans un communiqué que le compartiment non sécurisé contenait « des informations telles que des notes de version et des guides d’utilisation, qui sont régulièrement publiées avec les versions logicielles conformément aux pratiques standard de l’industrie ». Elle a refusé de répondre à des questions supplémentaires.
Le chercheur a déclaré qu’il pensait que cet incident n’était pas lié à la cyberattaque Capita fin mars revendiqué par le groupe de rançongiciels Black Basta. L’étendue de cet incident reste inconnue, bien que Capita ait admis le mois dernier avoir vu des preuves d' »exfiltration limitée de données » qui « pourraient inclure des données de clients, de fournisseurs ou de collègues ».
Des échantillons des données divulguées, vus par TechCrunch, comprenaient des détails de compte bancaire, des photos de passeport et des permis de conduire, ainsi que les données personnelles des enseignants postulant à des emplois dans les écoles. Capita a également déclaré aux administrateurs que certaines données relatives aux pensions étaient « susceptibles d’avoir été exfiltrées », selon le Financial Times.
Ces fichiers n’ont pas été partagés publiquement par Black Basta. On ne sait pas si une demande de rançon a été payée.
Mis à jour avec le commentaire de Capita.