Un opérateur téléphonique français perd 8 millions de données clients sur internet
Trois étudiants de l’Université de la Sarre, à Sarrebrück en Allemagne, viennent de faire une découverte intéressante : la fuite des données de 8 millions de clients qui pourraient appartenir à un opérateur français. Nom, adresse et numéros de téléphones inclus.
Tout a commencé lorsque trois étudiants en informatiques testent l’accès sur les bases de données MongoDB connectées à internet. Et là, jackpot, le trio tombe sur pas moins de 39 890 bases de données en accès libre. Parmi elles, celle d’un "French Internet service provider and mobile phone carrier", soit un opérateur Français fixe et mobile. L’Université, contactée par 01net.com, a bien confirmé, mais sans donner le nom de l’opérateur.
Pour la petite histoire, le trio d’étudiant aurait utilisé Shodan, un système de référencement des systèmes mal sécurisés. Après plusieurs filtrages successifs avec Shodan et leurs outils perso, est apparue la fameuse liste de 39 890 bases de données. Les étudiants n’auraient pas voulu révéler le nom de l’opérateur concerné (ni aucun autre des utilisateurs de MongoDB d’ailleurs) ; mais auraient alerté la CNIL et l’ANSSI.
"Le problème ne se situe pas au niveau de la base de données. Ce sont les administrateurs qui l’ont mal configuré. Souvent, lorsqu’ils installent cette base de données en réseau, elle est ouverte à tous. Il suffit de paramétrer des noms d’utilisateurs et des mots de passe pour limiter l’accès, mais encore faut-il le faire", indique Stefan Nürnberger pour 01net.com, chercheur au Centre de sécurité informatique (CISPA) de l’université de Sarrebruck.
01net.com nous informe que Bouygues et Orange sont utilisateurs du service MongoDB. Pour l’instant seul Bouygues aurait démentit son implication, suite à "une investigation en interne"..