L’quipe de cyberscurit de SafetyDetectives a dcouvert une importante fuite de donnes affectant la socit de logiciels StoreHub. Les donnes exposes taient stockes sur un serveur Elasticsearch de StoreHub, laiss ouvert sans protection par mot de passe ni chiffrement. StoreHub est bas en Malaisie et fournit un systme logiciel de point de vente (POS) qui est principalement utilis dans les restaurants et les magasins de dtail.
StoreHub a t fond en 2013 en Malaisie et a actuellement son sige social Petaling Jaya. Leur produit est utilis par plus de 15 000 entreprises selon leur site web, principalement dans la rgion de l’Asie du Sud-Est. Le serveur non protg a potentiellement compromis les informations de milliers de restaurants et de magasins de dtail, ainsi que de leur personnel et d’environ un million de clients. L’entreprise vend des logiciels de point de vente principalement aux entreprises F&B (nourriture et boissons), comme les restaurants, mais aussi aux magasins de dtail.
Le logiciel POS est principalement utilis pour traiter et enregistrer les achats et les transactions dans les entreprises en contact avec la clientle (restaurants, cafs, bars, magasins, etc.), ainsi que pour mettre des reus et suivre les ventes d’articles particuliers tels que les repas dans un restaurant, ou les vtements individuels dans un magasin.
StoreHub a ainsi pu collecter les donnes de plus d’un million de personnes travers l’Asie du Sud-Est, principalement les clients des entreprises utilisant son logiciel.
Donnes des clients des entreprises utilisant StoreHub
Les informations personnelles identifiables (PII) exposes des clients comprennent :
- les noms complets ;
- les numros de tlphone ;
- adresses physiques ;
- adresses lectroniques.
Ce nest pas la premire fois que des serveurs ElasticSearch font lobjet dexposition. En juillet 2019, dans la province du Jiangsu en Chine, un serveur ElasticSearch, appartenant au dpartement de la scurit publique, accessible au public et non scuris aurait expos deux bases de donnes comportant plus de 90 millions denregistrements de donnes personnelles et dentreprises.
Autrement dit, le serveur de base de donnes ElasticSearch du dpartement de la scurit publique de la province du Jiangsu a t rendu accessible au public avec tous les droits d’administrateur, donnant accs deux bases de donnes contenant des informations sensibles sur les personnes et les entreprises.
Une autre brche de serveur non scuris en ligne avait t dcouverte exposant une importante quantit denregistrements client la merci de toutes personnes malveillantes qui auraient dcouvert la vulnrabilit. Un groupe de casinos en ligne a divulgu des informations sur plus de 108 millions de paris, y compris des dtails sur les informations personnelles des clients.
Les donnes ont t exposes via une base de donnes Elasticsearch mal configure, sans mot de passe, et la vulnrabilit a t dcouverte par Justin Paine, un chercheur en scurit. Les donnes personnelles sensibles sur des clients divulgues par le groupe de casinos et qui pourraient tre exploites par des pirates informatique comprenaient, entre autres, les vrais noms, adresses personnelles, numros de tlphone les dtails des cartes de paiement.
Un peu plus tt en 2020, des donnes personnelles appartenant aux abonns du site Internet du Figaro taient exposes sur un serveur Elasticsearch. En effet, 8 To de donnes, contenant des donnes personnelles dabonns et dinscrits au site ont t accessibles en ligne pendant plusieurs mois, avait rvl Safety Detective, une entreprise de scurit informatique, dans un rapport. Pour y accder, aucun mot de passe ntait requis. Il suffisait de connatre ladresse IP de la base de donnes.
Les journaux API de la base de donnes contenaient les donnes des utilisateurs ayant cr un compte dabonnement sur le site Internet du Figaro entre fvrier et avril 2020, ainsi que les donnes des utilisateurs prexistants stant connects leurs comptes pendant cette priode , indiquait le rapport.
Pour le cas de StoreHub, une dclaration conteste la chronologie de Safety Detectives, l’entreprise dit avoir t alerte le 3 fvrier mais ne conteste pas l’existence du serveur non scuris. La socit a men une enqute qui, selon elle, a rvl qu’aucune donne financire sensible ni aucun mot de passe n’taient contenus dans la vulnrabilit.
La loi malaisienne pourrait tre moins clmente, car elle prvoit des amendes substantielles en cas de non-respect des lois sur la protection des donnes.
Source : Safety Detectives
Et vous ?
Qu’en pensez-vous ?
Lire aussi