Un autre jour, une autre base de données mal configurée divulgue des données clients sensibles sur Internet.
Cette fois-ci, l’agresseur n’est autre qu’Amazon, car selon Tech Crunch (s’ouvre dans un nouvel onglet)le chercheur en cybersécurité Anurag Sen a récemment découvert une importante base de données Amazon, sans aucune protection par mot de passe, accessible à quiconque savait où chercher.
Avec l’aide de Shodan – un moteur de recherche pour les objets connectés à Internet, Sen a découvert la base de données, nommée Sauron, et l’a trouvée pleine d’habitudes de visionnage d’Amazon Prime.
Erreur de déploiement
Au total, la base de données contenait quelque 215 millions d’entrées de données de visionnage pseudonymisées – ce qui signifie que même s’il existe de nombreuses données sur des clients spécifiques pour connaître leurs habitudes de visionnage, il est pratiquement impossible de connecter ces comptes à des identités réelles. Sauron contient des éléments tels que le nom du film/de la série, l’appareil utilisé pour diffuser le contenu, la qualité du réseau, le plan d’abonnement du client, etc.
La base de données aurait été détectée pour la première fois comme étant exposée fin septembre 2022, après quoi Amazon a été averti et a supprimé le système du Web au sens large.
« Il y a eu une erreur de déploiement avec un serveur d’analyse Prime Video. Ce problème a été résolu et aucune information de compte (y compris les informations de connexion ou de paiement) n’a été exposée. Ce n’était pas un problème AWS ; AWS est sécurisé par défaut et fonctionne comme prévu », Tech Crunch a cité le porte-parole d’Amazon, Adam Montgomery.
Les erreurs de configuration du cloud ne sont pas nouvelles et les chercheurs avertissent depuis des années que cette erreur d’origine humaine est une cause majeure de violation de données. En fait, un rapport IBM de 2021 affirmait que 19 % des violations de données se produisaient parce que les équipes informatiques ne protégeaient pas correctement les actifs trouvés dans leur infrastructure cloud. La société a interrogé plus de 500 organisations qui ont subi une violation de données pour le rapport et a appris que pour la moitié (52 %), la sécurisation des données stockées dans le cloud public restait un défi.
De plus, un rapport Accurics de 2020 a revendiqué « presque tout » le stockage en nuage (s’ouvre dans un nouvel onglet) les déploiements étaient mal configurés.