Des données privées deviennent publiques sur le cloud d’Amazon

amazonRapid7, une société de sécurité basée à Boston, a déclaré dans un article publié le 27 mars dernier qu’elle a eu accès à une liste de plus de 126 milliards de fichiers appartenant à des clients d’Amazon Simple Storage Service (Amazon S3). Après analyse de plus de 40.000 fichiers, Rapid7 indiquait que la la plupart contenaient des données sensibles.

Parmi les données collectées, on pouvait trouver les chiffres de vente d’un très gros concessionnaire auto américain, mais aussi les codes sources d’une société d’édition de jeux pour mobiles, des fichiers contenant les informations personnelles d’employés et les listes de membres de sites, ou des sauvegardes de bases de données, ainsi que les mots de passes non encryptés. En bref: des données permettant de mener une attaque, ou des données à forte valeur marchande sur le marché noir de la cybercriminalité.

Rapid7 a indiqué que les documents étaient publics non pas suite à une faille chez Amazon, mais parce que les utilisateurs du service avaient désactivés des onglets de sécurité destiné à garder ces informations privées (probablement par accident, ou par la faute d’un logiciel de gestion des données mal conçu).

Les sociétés concernées n’étaient pas identifiés publiquement, et après que Rapid7 eu alerté Amazon, la plupart des fichiers n’étaient plus visibles.

Amazon a déclaré dans un communiqué qu’il ne s’agissait pas d’une vulnérabilité dans son service et que les techniciens de l’entreprise allaient systématiquement contacter les clients pour les aider à corriger les erreurs de configuration.

A lire sur Blomberg