La base de données clients d’un courtier hypothécaire canadien laissée ouverte sur Internet

La base de données d’un courtier hypothécaire canadien contenant des informations personnelles sur des milliers de personnes a été laissée ouverte sur Internet, selon des chercheurs en sécurité.

L’accès à la base de données appartenant à 8Twelve Financial Technologies, basée à Toronto, a été rapidement restreint après que l’entreprise eut été avisée par le chercheur Jeremy Folwer et le personnel de Website Planet, qui offre des ressources aux créateurs de sites Web.

Selon un rapport publié hier, la base de données contient 717 814 enregistrements sur des milliers de résidents canadiens, avec des informations sur les prêts hypothécaires résidentiels, notamment des noms, des numéros de téléphone, des adresses électroniques, des adresses physiques, etc. Selon le rapport, de nombreux dossiers semblaient être des renseignements sur des personnes souhaitant acheter une maison, refinancer, obtenir une marge de crédit sur capitaux propres ou acheter un immeuble de placement.

« Nous avons immédiatement envoyé un avis de divulgation responsable et 8Twelve a agi rapidement et de manière professionnelle en restreignant l’accès du public dans les heures suivant notre découverte », déclarent les chercheurs.

Dans une interview, le président et directeur des systèmes d’information de 8Twelve Financial, Akber Abbas, a déclaré qu’un membre du personnel avait commis une erreur en décembre lors du transfert de données vers un compartiment AWS. « Cet incident s’est produit lorsqu’un de nos analystes de rapports travaillait sur une migration et a accidentellement laissé l’un des ports ouverts. Il a été rapidement identifié grâce à nos tests d’intrusion. Aucune donnée n’a été supprimée de notre serveur. Cette personne a ensuite été licenciée de l’organisation. Nous avons maintenant des solutions en place pour nous protéger à l’avenir. »

Quant aux chercheurs qui ont découvert l’erreur, Abbas a déclaré : « Nous l’avons réalisé nous-mêmes avant qu’ils ne nous en informent.  »

Abbas a déclaré que la réaction de l’entreprise comprenait une collaboration avec des consultants en sécurité pour combler les lacunes.

Lorsqu’on lui a demandé si l’incident était embarrassant, il a répondu : « Oui. Vous ne voulez jamais être dans ce type de position. La réalité du domaine de la sécurité est que les choses changent très rapidement. Nous avons depuis [l’incident] mis en place un certain nombre de contrôles supplémentaires au cours des quatre dernières semaines au-dessus de ce que nous faisons… pour être aussi proactifs que possible. »

Abbas ne savait pas si son entreprise avait informé un organisme de réglementation de la violation des contrôles de sécurité.

La société a deux secteurs d’activité : 8Twelve Mortgage pour les prêts hypothécaires, qui, selon le site de la société, négocie avec 65 prêteurs pour trouver les meilleurs taux hypothécaires dans la région de North York à Toronto et 8T Capital, qui propose des prêts à court terme.

Cette violation apparente des contrôles de sécurité n’est que la dernière d’une série de bases de données d’entreprise trouvées sans protection sur Internet. Souvent, ces fichiers mal configurés sont téléchargés sur des sites de stockage en nuage comme Amazon AWS, où les créateurs les placent temporairement ou ont l’intention de faire une analyse de données, puis oublient de protéger les fichiers par mot de passe ou de s’assurer qu’ils ne sont pas connectés à l’Internet public. .

Un blog du fournisseur SecurityTrails note que certaines des erreurs de base de données les plus courantes impliquent l’utilisation d’Elasticsearch, une base de données permettant de stocker et d’analyser de grandes quantités de données. Elasticsearch se lie par défaut à localhost uniquement, note l’article, ce qui est suffisamment sécurisé. Mais, ajoute-t-il, pour rendre Elasticsearch utilisable dans une organisation, les administrateurs de bases de données commettent souvent l’erreur de lier Elasticsearch à l’interface du réseau public sans pare-feu.

Un excellent outil pour trouver des bases de données exposées est le moteur de recherche Shodan, qui trouve tout ce qui est connecté à Internet. Comme le notait un article de Wired en 2017 sur les bases de données exposées, si vous voulez trouver toutes les bases de données MongoDB connectées à l’Internet public, tapez simplement « MongoDB » dans Shodan. Toutes les bases de données trouvées ne contiendront pas d’informations personnelles sensibles, mais certaines pourraient le faire.

Selon Website Planet, la base de données contenait :

  • 717 814 enregistrements. La base de données contenait un dossier nommé « demandeur » et cinq dossiers nommés « demande ».
  • Les noms des candidats, courriels, numéros de téléphone au travail, à la maison et cellulaire. Certains enregistrements contenaient des adresses physiques, état ou province. Comme la plupart des données pourraient concerner un individu spécifique, les données trouvées dans les dossiers pourraient être considérées comme des informations personnelles identifiables.
  • Dans un échantillon aléatoire de 10 000 enregistrements, le terme « courriel » a retourné 18 382 résultats. Chaque enregistrement affiché contenait deux adresses courriel, une appartenant au demandeur et celle de l’agent 8Twelve correspondant. Presque tous les services de messagerie courants sont apparus dans les données, notamment Gmail (13 695 résultats) et Yahoo (3406), ainsi qu’Outlook, iCloud, AOL et un plus petit nombre de plusieurs autres fournisseurs de messagerie.
  • Les suivis hypothécaires de plusieurs provinces canadiennes ont été recueillies dans plusieurs dossiers portant la mention « Prod » (ce qui, selon nous, signifie « production »). Les enregistrements semblaient indiquer d’où provenaient les clients : publicités Facebook, référence, site Web, etc.
  • Les informations fournies par les candidats sur leur propre situation financière, sous la forme de leurs cotes de crédit, de leur faillite, de leurs économies, de leurs finances et d’autres données pour démarrer le processus de demande de prêt. Aux fins d’évaluation du crédit, les agents hypothécaires peuvent avoir besoin de déterminer la solvabilité d’un demandeur en divulguant les informations financières susmentionnées à une agence d’évaluation du crédit indépendante ou à une autre source.
  • Les dossiers comprenaient également les noms d’employés de 8Twelve, leur adresse e-mail et des notes internes sur le prêt ou le client potentiel, indiquant si le demandeur était solvable ou non.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Les données d’employés actuels et anciens de la bibliothèque de Toronto volées lors d’une attaque de rançongiciel

Le réseau des bibliothèques publiques de Toronto a reconnu que le gang de rançongiciel qui l'a attaqué le mois dernier a volé des données personnelles identifiables d’employés.

L’histoire tragique de deux hébergeurs danois qui ont perdu toutes les données de leurs clients

Des incidents de cybersécurité de toutes sortes sont fréquents, mais l'un des plus extrêmes s'est produit à la mi-août, lorsque deux sociétés d'hébergement infonuagique danoises – CloudNordic et AzeroCloud – ont payé le prix ultime à la suite d'une attaque de rançongiciel : les deux organisations ont cessé d'exister.

Un gang affirme avoir volé plus de données à Air Canada que la société ne l’admet

Le gang de rançongiciel BianLian affirme qu'Air Canada n'a pas été franc sur la quantité de données volées lors de la cyberattaque du mois dernier.

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.