Entreprise de protection contre l’usurpation d’identité LifeLock – une entreprise qui s’est bâtie un nom sur la base de la promesse d’aider les consommateurs à protéger leur identité en ligne – peut avoir en fait exposé les clients à des attaques supplémentaires de la part de voleurs d’identité et de hameçonneurs. La société vient de corriger une vulnérabilité sur son site qui permettait à toute personne disposant d’un navigateur Web d’indexer les adresses e-mail associées à des millions de comptes clients ou de désabonner les utilisateurs de toutes les communications de la société.
Le résultat de cette faiblesse est que les cybercriminels pourraient récolter les données et les utiliser dans des campagnes de phishing ciblées qui usurpent la marque LifeLock. Bien sûr, les hameçonneurs pourraient spammer le monde entier à la recherche de clients LifeLock sans l’aide de cette faille, mais néanmoins la conception du site de l’entreprise suggère que celui qui l’a créé n’avait pas une compréhension de base de l’authentification et de la sécurité des sites Web.
Le site Web de LifeLock exposait les adresses e-mail des clients en liant chaque compte client à une « clé d’abonné » numérique qui pouvait être facilement énumérée. Sur la photo ci-dessus, le numéro de client 55 739 477. Cliquez pour agrandir.
L’image ci-dessus est une capture d’écran expurgée d’un tel enregistrement (cliquez sur l’image pour l’agrandir). Remarquez comment le format du lien dans la barre d’adresse du navigateur se termine par le texte « subscriberkey = » suivi d’un nombre. Chaque numéro correspond à un enregistrement client, et les enregistrements semblent être séquentiels. Traduction : Il serait trivial d’écrire un simple script qui récupère l’adresse e-mail de chaque abonné LifeLock.
Entreprise de sécurité Symantec, qui a acquis LifeLock en novembre 2016 pour 2,3 milliards de dollars, a mis LifeLock.com hors ligne peu de temps après avoir été contacté par BreachTrace. Selon la documentation marketing de LifeLock en janvier 2017, la société compte plus de 4,5 millions de comptes clients.
BreachTrace a été alerté de la faille flagrante par Nathan Reese, un chercheur en sécurité indépendant de 42 ans basé à Atlanta qui est également un ancien abonné LifeLock. Reese a déclaré avoir découvert la fuite de données après avoir reçu un e-mail à l’adresse qu’il avait précédemment utilisée chez LifeLock, et que le message lui offrait une réduction pour le renouvellement de son adhésion.
En cliquant sur le lien « se désabonner » au bas de l’e-mail, une page affichant sa clé d’abonné s’est affichée. À partir de là, a déclaré Reese, il a écrit un script de preuve de concept qui a commencé à séquencer les numéros et à extraire les adresses e-mail. Reese a déclaré qu’il avait arrêté le script après avoir énuméré environ 70 e-mails parce qu’il ne voulait pas déclencher l’alarme chez LifeLock.
« Si j’étais un méchant, je ciblerais certainement vos clients avec une attaque de phishing parce que je sais deux choses à leur sujet », a déclaré Reese. « Qu’il s’agit d’un client LifeLock et que j’ai les adresses e-mail de ces clients. C’est une lance assez pointue pour mon harponnage juste là. De plus, je pense vraiment que le marché cible de LifeLock est quelqu’un qui est facilement effrayé par le spectre de la cybercriminalité.
Le site Web de LifeLock est actuellement hors ligne.
Les erreurs de configuration comme celle décrite ci-dessus sont parmi les moyens les plus courants par lesquels les entreprises divulguent des données clients, mais elles sont également parmi les plus évitables. Plus tôt cette année, BreachTrace a publié un article sur une faille similaire sur Panerabread.com, qui a exposé des dizaines de millions de dossiers clients, notamment des noms, des adresses e-mail et physiques, des anniversaires et les quatre derniers chiffres de la carte de crédit du client.
Mise à jour, 19h40 : Correction du nombre d’abonnés LifeLock sur la base d’une estimation de 2017 par Symantec.
Mise à jour, 26 juillet, 7h32 : Symantec a publié la déclaration suivante en réponse à cet article :
Ce problème n’était pas une vulnérabilité dans le portail des membres LifeLock. Le problème a été résolu et se limitait à l’exposition potentielle des adresses e-mail sur un marketing page, gérée par un tiers, destinée à permettre destinataires se désabonner du marketing e-mails. D’après notre enquête, uncôté des 70 accès d’adresses email rapportés par le chercheur, nous n’ont aucune indication à l’heure actuelle de toute autre activité suspecte sur la page de désactivation du marketing.