Une configuration tierce bâclée expose les données de l’Internet Society au Web

Les données personnelles de jusqu’à 80 000 membres de l’Internet Society (ISOC) ont été laissées exposées à Internet après que l’un de ses partenaires technologiques tiers n’ait pas réussi à sécuriser correctement un référentiel d’objets blob Microsoft Azure.

ISOC est l’une des organisations à but non lucratif Internet les plus anciennes, créée en 1992 avec pour mission d’assurer le développement ouvert d’Internet dans le monde entier, avec un accent particulier sur la réduction de la fracture numérique et la rendre le Web plus accessible.

Les données exposées ont été découvertes le 8 décembre 2021 par une équipe du spécialiste des cyberlogiciels Clario, travaillant aux côtés du chercheur indépendant Bob Diachenko, et ont été immédiatement signalées. L’ISOC a réagi rapidement et de manière appropriée et la base de données a été entièrement verrouillée le 15 décembre.

Le référentiel Blob vulnérable contenait des millions de fichiers json, y compris les informations personnelles et de connexion des membres de l’ISOC. En plus de cela, il comprenait également des données sur leur activité, les identifiants de compte, les comptes de médias sociaux liés, les dates d’adhésion, les préférences linguistiques, les adresses e-mail, les adresses postales, y compris les codes postaux, le sexe, les noms complets et même les sommes d’argent données.

Son exposition laisse potentiellement les membres de l’ISOC à risque d’être attaqués par des cybercriminels avec des attaques de phishing conduisant au vol d’identité et à la fraude financière.

« Sur la base de la taille et de la nature du référentiel exposé, nous pouvons supposer que toutes les informations de connexion et adjacentes des membres ont été ouvertes à l’Internet public pendant une période de temps indéfinie », a écrit l’équipe de Clario dans un avis de divulgation publié aujourd’hui.

Un porte-parole de l’ISOC a déclaré: « Nous avons confirmé que le système de gestion des associations que nous utilisons a été configuré de manière incorrecte par MemberNova, ce qui a rendu certaines données des membres de l’Internet Society accessibles au public. Heureusement, nous n’avons vu aucun cas d’accès malveillant aux données des membres à la suite de ce problème.

« Nous avons informé tous nos membres de cette question avant les vacances et avons travaillé avec MemberNova pour corriger le problème de configuration et rétablir le fonctionnement normal du système. Nous venons également d’informer nos membres que l’enquête est terminée.

« Merci encore d’avoir porté cette question à notre attention car votre avis nous a permis de résoudre rapidement la situation », ont-ils déclaré.

Le fournisseur impliqué, identifié comme MemberNova, est un spécialiste canadien des plateformes d’adhésion, fournissant des services tels que l’adhésion et la gestion communautaire, l’inscription à des événements, etc. Il n’y a aucune indication d’intention malveillante de sa part.

Néanmoins, comme dans tous les cas impliquant des bases de données mal configurées, l’incident sert d’avertissement supplémentaire aux organisations pour vérifier et valider les postures de cybersécurité de leurs fournisseurs tiers, car une violation grave pourrait exposer l’organisation avec laquelle les données proviennent à des risques juridiques ou réglementaires.

« Il y a des défis pour l’ISOC si cette violation de données avait été largement signalée avec la perte de réputation le principal problème. Comme l’organisation travaille dans le monde en ligne et est considérée comme un défenseur des normes et des meilleures pratiques, il pourrait être particulièrement embarrassant si cela avait été publié », a déclaré l’équipe de Clario.

« La violation suggère que l’ISOC doit faire plus pour améliorer [its] infrastructure de sécurité et adhérer aux meilleures pratiques [it] des champions pour rendre Internet plus fort et plus sûr.