Accueil > Sécurité > Garmin Navionics expose les données de 260000 possesseurs de bateaux
garmin navionics fuite données

Garmin Navionics expose les données de 260000 possesseurs de bateaux

Could not resolve host: public.newsharecounts.comCould not resolve host: public.newsharecounts.com

Garmin Navionics gardait les données personnelles de centaines de milliers de ses clients possesseurs de bateaux dans une base de données MongoDB qui n’était pas protégée par un mot de passe. Après avoir été informée de cette faille de sécurité, l’entreprise s’est empressée de corriger le problème.

L’entreprise italienne Navionics, rachetée par Garmin en 2017, est spécialisée dans les cartes de navigation actualisées en temps réel. Elle fournit ses services à des possesseurs de bateaux et autres yachts. La firme se vante aussi de maintenir la ” plus grande base de données de cartographie du monde “.

Malheureusement, l’envergure n’est pas toujours synonyme de sécurité. La base de données MongoDB de Navionics n’était pas sécurisée par un mot de passe, ce qui permettait à n’importe qui d’accéder aux données et de les télécharger.

Selon Hacken.io, qui a fait part de cette faille de sécurité à l’entreprise, la base de données de 19 gigabytes contenait 261259 enregistrements uniques. Parmi les données exposées, on compte les noms et adresses mail des clients de la firme. Des informations sur leurs bateaux y étaient également stockées : longitude, latitude, vitesse, et autres détails actualisés en temps réel.

Garmin Navionics : la base de données MongoDB n’était pas protégée par un mot de passe

garmin navionics base mongodb

Après avoir été contacté par Hacken.io, Navionics s’est empressé de désactiver le serveur de la base de données, de mener son enquête et de résoudre le problème. L’enquête a heureusement permis de confirmer qu’aucune donnée n’a été consultée, exfiltrée ou supprimée. Les clients de Navionics ont été notifiés le 8 octobre 2018.

Cet incident de sécurité est lié à un important changement apporté aux bases de données MongoDB, qui comptent parmi les plus utilisées au monde, il y a quelques années. Par le passé, ces bases de données n’étaient pas conçues pour être connectées à internet. De fait, par défaut, elles n’étaient pas automatiquement protégées par un mot de passe.

Toutefois, en constatant que de plus d’organisations connectent leurs bases de données directement à internet, MongoDB a mis à jour son logiciel afin d’inclure une protection par mot de passe par défaut. Malheureusement, à l’instar de Navionics, de nombreuses entreprises utilisent une version obsolète du logiciel et leur databases ne sont pas sécurisées.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend