Le développeur de jeux japonais Ateam a prouvé qu’une simple erreur de configuration de Google Drive peut entraîner l’exposition potentielle mais improbable d’informations sensibles pour près d’un million de personnes sur une période de six ans et huit mois.

La firme japonaise est un créateur de jeux mobiles et de contenu, englobant Ateam Entertainment,qui propose plusieurs jeux sur Google Play comme War of Legions, Dark Summoner, Hatsune Miku – Tap Wonder et des outils comme Memory Clear / Game Boost Master et Good Night’s Sleep Alarm.

Plus tôt ce mois-ci, Ateam a informé les utilisateurs de ses applications et services, ses employés et ses partenaires commerciaux que le 21 novembre 2023, elle avait découvert qu’elle avait incorrectement défini une instance de stockage cloud Google Drive sur « Toute personne sur Internet avec le lien peut voir » depuis mars 2017.

L’instance Google Drive configurée de manière non sécurisée contenait 1 369 fichiers contenant des informations personnelles sur les clients d’Ateam, les partenaires commerciaux d’Ateam, les anciens et actuels employés, et même les stagiaires et les personnes qui ont postulé pour un poste dans l’entreprise.

Ateam a confirmé que 935 779 personnes avaient vu leurs données exposées, dont 98,9% étaient des clients. Pour Ateam Entertainment en particulier, 735 710 personnes ont été exposées.

Analyse des individus exposés

Les données exposées par cette mauvaise configuration varient en fonction du type de relation que chaque individu entretenait avec l’entreprise et peuvent inclure les éléments suivants:

  • Noms complets
  • Adresses e-mail
  • Numéros de téléphone
  • Numéros de gestion des clients
  • Numéros d’identification du terminal (appareil)

La société affirme n’avoir vu aucune preuve concrète que des acteurs de la menace aient volé les informations exposées, mais exhorte les gens à rester vigilants face aux communications non sollicitées et suspectes.

Sécurisez vos services cloud
La définition de Google Drive sur « Toute personne disposant du lien peut l’afficher » le rend visible uniquement pour ceux qui ont l’URL exacte, généralement réservée à la collaboration entre les personnes travaillant avec des données non sensibles.

Si un employé, ou quelqu’un d’autre avec le lien, l’exposait par erreur publiquement, il pourrait être indexé par les moteurs de recherche et devenir largement accessible.

Bien qu’il soit peu probable que quiconque ait trouvé lui-même une URL Google Drive exposée, cette notification démontre la nécessité pour les entreprises de sécuriser correctement leurs services cloud pour éviter que les données ne soient exposées par erreur.

Il est très courant que les auteurs de menaces et les chercheurs trouvent des services cloud exposés, tels que des bases de données et des compartiments de stockage, et téléchargent les données qu’ils contiennent.

Alors que les chercheurs divulguent généralement de manière responsable les données exposées, si les acteurs de la menace les trouvent, cela peut entraîner de plus gros problèmes car ils les utilisent pour extorquer des entreprises ou les vendent à d’autres pirates pour les utiliser dans leurs propres attaques.

En 2017, Chris Vickery, chercheur en sécurité, a découvert des compartiments Amazon S3 mal configurés exposant des bases de données contenant 1,8 milliard de publications sur les réseaux sociaux et les forums publiées par des utilisateurs du monde entier.

Dix jours plus tard, le même chercheur a découvert un autre compartiment S3 mal configuré qui exposait ce qui semblait être des informations classifiées d’INSCOM.

Bien que ces violations aient été divulguées de manière responsable, d’autres erreurs de configuration des services cloud ont conduit à la fuite ou à la vente des données sur des forums de pirates informatiques.

Les compartiments Amazon S3 mal configurés sont devenus un problème suffisamment important pour que les chercheurs aient publié des outils qui recherchent les compartiments exposés.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également publié des conseils à l’intention des entreprises sur la manière de sécuriser correctement les services cloud.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *