LEBIGDATA.FR I.A, Cloud & Cybersécurité
Une base de données non sécurisée contenant plus de 61 millions d'enregistrements liés aux trackers de fitness et aux appareils portables a exposé les données des utilisateurs Apple et Fitbit.
Une base de données non protégée par mot de passe
Les chercheurs de WebsitePlanet et le chercheur en sécurité Jeremiah Fowler ont découvert une base de données non protégée par mot de passe. Celle-ci contenait des dizaines de millions d'enregistrements collectées auprès des trackers d'activités physiques et des applications portables connexes. La base de données non sécurisée appartenait à GetHealth. Il s'agit d'une société qui offre une solution unifiée pour accéder aux données de santé et de bien-être issues de centaines de dispositifs portables, d'appareils médicaux et d'applications.
Dès que la violation a été découverte, Jeremiah Fowler en a de suite informé GetHealth qui a réagi rapidement. Le système a été sécurisé en quelques heures. De nombreux enregistrements contenaient des données personnelles des utilisateurs. Noms et prénoms, pseudo, date de naissance, poids, taille, sexe et géolocalisation font partie des informations exposées. La majorité des enregistrements exposés proviendrait des appareils Fitbit et Apple Healthkit. Selon le chercheur Jeremiah Fowler. « On ne sait pas combien de temps ces enregistrements ont été exposés ou qui d'autre a pu avoir accès à l'ensemble de données ».
Chiffrer les données sensibles, une nécessité
Les chercheurs recommandent aux entreprises et aux organisations de chiffrer les données sensibles. Il est tout aussi nécessaire disent-ils d'adopter des pratiques de cyberhygiène et d'effectuer régulièrement des tests d'intrusion. Les erreurs de configuration, une base de données sans mot de passe par exemple, permettent aux attaquants d'accéder facilement à aux systèmes ou aux données. Toutes les organisations doivent régulièrement vérifier leurs systèmes pour détecter les erreurs de configuration, en particulier les systèmes accessibles à Internet. Un simple changement peut donner accès aux attaquants mêmes aux systèmes avec une configuration sécurisée.
Tant que les données sont utilisées à des fins personnelles, il n'existe actuellement aucune réglementation claire HIPAA (Health Insurance Portability and Accountability Act) qui s'applique à la technologie portable. Cependant, une fois que les données d'un appareil portable ou d'un tracker de fitness sont transmises à un fournisseur de soins de santé ou à une autre institution, elles peuvent alors être soumises aux réglementations HIPAA et aux normes de conformité HIPAA.
Toutes les données sont précieuses
La plupart des utilisateurs de wearables pensent que les cybercriminels ne seront pas intéressés par le nombre de pas qu'ils font ou combien de temps ils dorment. Fowler note que toutes les données sont précieuses. Et à mesure que la technologie des appareils portables se développe, les types et la précision des données collectées sur les utilisateurs augmentent également. Les données pourraient être utilisées pour mener d'autres attaques, pour commettre des fraudes ou des extorsions ou pour obtenir des informations de santé plus ciblées,
Cette base de données ne contient ni numéro de téléphone, ni numéro de sécurité sociale, ni informations bancaires. Ce n'est pas pour autant que celle-ci soit bénigne. En réalité, cette base de données contient de nombreuses informations qui pourraient être utiles aux hackers, comme les données GPS par exemple. La prudence est donc toujours de mise.
- Partager l'article :
