Aux États-Unis, des chercheurs de SafetyDetectives déclarent avoir découvert un serveur Elasticsearch mal sécurisé. Ce problème de sécurisation a exposé les données personnelles d’au moins 30 000 étudiants qui, pour la plupart, sont des Américains.
Plus d’un million d’enregistrements exposés
SafetyDetectives est un groupe d’édition composé d’experts en cybersécurité, de chercheurs en confidentialité et d’examinateurs de produits techniques. Parmi son équipe de chercheurs, des White Hat utilisent des méthodes de piratage éthique pour trouver des fuites de données et des failles de sécurité qui portent atteinte à la vie privée.
Dans le cadre de ces recherches, des experts en cybersécurité ont découvert un serveur Elasticsearch non sécurisé par un mot de passe, donnant accès à une base de données de 5 Go. Cette dernière contient plus d’un million d’enregistrements qui appartiennent à au moins 30 000 de étudiants.
Les données appartiennent à des étudiants titulaires d’un compte Transact Campus. Il s’agit d’un éditeur d’applications dédiées aux étudiants leur permettant de réaliser des achats, de payer la restauration, d’accéder à des événements, etc.
Les victimes exposées à des attaques de phishing
Le fichier exposé contenait des informations personnellement identifiables (PII). Nom, email, numéro de téléphone, détails sur la carte de crédit, historique des transactions et informations de connexion stockées en texte brut comptent parmi les données exposées.
En tenant compte de la nature de ces informations, les victimes de cette violation de données sont potentiellement exposées à des escroqueries, une usurpation d’identité, des attaques de phishing ou des campagnes de spam.
Les chercheurs de SafetyDetectives ont découvert ce serveur non sécurisé en décembre 2021. L’équipe a de suite informé qui de droit. À réception des réponses début 2022, le serveur a déjà été sécurisé.
Transact Campus réfute toute violation de données
Selon Transact Campus, aucun serveur n’a été accessible sans autorisation et il n’y a eu aucune violation de données. La base de données appartiendrait à un tiers et comprendrait de faux enregistrements.
Un porte-parole de Transact Campus déclare : « Apparemment, cela a été mis en place par un tiers pour une démonstration et n’a jamais été supprimé. Nous avons confirmé que la base de données était remplie de faux enregistrements ».
De son côté, SafetyDetectives a analysé un échantillon des enregistrements et confirme que les informations appartiennent à de vraies personnes. Des investigations plus poussées indiquent que la violation de données viendrait de Sodexo.
Il s’agit d’une société de facility management spécialisée dans la restauration auprès des collectivités, des entreprises, des écoles et des hôpitaux. L’entreprise dit avoir déjà émis un avis de violation de données aux clients et utilisateurs concernés.
- Partager l'article :