La Fondation OWASP a révélé une violation de données après que les CV de certains membres ont été exposés en ligne en raison d’une mauvaise configuration de son ancien serveur Web Wiki.
Abréviation de Open Worldwide Application Security Project, OWASP est une fondation à but non lucratif lancée en décembre 2001 et axée sur la sécurité des logiciels.
Elle compte aujourd’hui des dizaines de milliers de membres et plus de 250 chapitres qui organisent des conférences éducatives et de formation dans le monde entier.
OWASP dit avoir découvert la mauvaise configuration du Wiki média fin février à la suite de plusieurs demandes d’assistance.
L’incident n’a touché que les membres qui ont rejoint la fondation entre 2006 et 2014 et ont fourni un curriculum vitae dans le cadre de l’ancien processus d’adhésion.
« Les CV contenaient des noms, des adresses électroniques, des numéros de téléphone, des adresses physiques et d’autres informations personnellement identifiables », a déclaré Andrew van der Stock, directeur exécutif de l’OWASP.
« L’OWASP a collecté des CV dans le cadre du processus d’adhésion précoce, selon lequel les membres étaient tenus, de 2006 à 2014, de montrer un lien avec la communauté de l’OWASP. L’OWASP ne collecte plus de CV dans le cadre du processus d’adhésion. »
La fondation enverra un e-mail aux personnes concernées pour les informer de l’incident, même si bon nombre d’entre elles ne sont plus membres et que les données personnelles exposées sont, dans de nombreux cas, obsolètes.
OWASP a également pris plusieurs mesures pour remédier à la violation de données, en désactivant la navigation dans les répertoires et en examinant la configuration du serveur Web et du Wiki multimédia pour d’autres problèmes de sécurité.
Pour empêcher tout accès ultérieur, ils ont supprimé tous les CV du site wiki et purgé le cache Cloudflare. De plus, l’OWASP a contacté les Archives Web et a demandé que les informations de CV exposées soient supprimées.
« OWASP a déjà supprimé vos informations d’Internet, aucune action immédiate de votre part n’est donc requise. Rien ne doit être fait si les informations à risque sont obsolètes », a ajouté van der Stock.
« Cependant, si les informations sont à jour, par exemple contenant votre numéro de téléphone portable, veuillez prendre les précautions habituelles lorsque vous répondez à des courriels, courriers ou appels téléphoniques non sollicités. »