Serveur d'impression

Instagram Breach expose les données personnelles de 49 millions d'utilisateurs – Serveur d’impression

Le 3 juillet 2019 - 12 minutes de lecture

Facebook a eu un autre coup dur la semaine dernière lorsque son site subsidiaire Instagram a été percé, révélant les données sensibles d’au moins 49 millions d’utilisateurs. Et la fuite a été causée par un autre serveur Amazon Web Services (AWS) non protégé connecté à Internet, une tendance qui a pris au piège un nombre inquiétant d'entreprises de haut niveau ces dernières années – y compris Facebook lors d'un incident précédent le mois dernier.

La fuite a été découverte par le chercheur en sécurité Anurag Sen à la mi-mai et publiée le 20 mai. La base de données AWS, qui appartenait à une société de marketing basée à Mumbai, appelée Chtrbox, semble être en ligne sans mot de passe depuis au moins 72 heures. Environ 1 utilisateur Instagram sur 20 a été touché par cette situation, mais les enregistrements exposés semblent être principalement ceux d’influenceurs et de célébrités.

La faille Instagram n’a pas révélé d’informations financières, mais elle a permis d’accéder à des informations de localisation et de contact qui n’étaient peut-être pas censées être publiques. La base de données exposée contenait les images de profil, la ville et le pays, le numéro de téléphone, l'adresse électronique et le nombre d'abonnés de chaque utilisateur.

Briser la faille Instagram

Chtrbox est un outil de marketing pour les influenceurs sur Instagram, utilisé principalement pour faciliter la communication entre les marques à la recherche de représentation et les célébrités et les utilisateurs de premier plan ouverts à présenter leurs produits. Cette violation n'a donc pas eu d'incidence sur l'utilisateur moyen d'Instagram. Les informations contenues dans la base de données non sécurisée étaient des métriques d’influence et des détails de contact pour examen et utilisation par les marques intéressées.

Avant de continuer à lire, pourquoi ne pas suivre sur LinkedIn?

La base de données a été mise hors ligne après la publication du rapport par TechCrunch, mais était en ligne depuis au moins 72 heures. Le nombre record d’exposés actuellement exposés est de 49 millions, mais il pourrait potentiellement augmenter dans le futur.

Cette violation d'Instagram fait partie d'une longue liste de bases de données AWS connectées à Internet sans sécurité adéquate. Celles-ci sont généralement découvertes lorsqu'un chercheur en sécurité ou un port cybercriminel entreprenant analyse des blocs d'adresses ou utilise quelques astuces intelligentes, telles que la recherche dans les journaux de transparence des certificats.

Ce n'est même pas la première infraction de cette nature pour la société mère Facebook en 2019; En avril, 540 millions d’enregistrements de comptes Instagram ont été révélés par l’intermédiaire de deux seaux AWS ouverts appartenant à l’éditeur de médias numériques latino-américain Cultura Colectiva. La fuite a révélé des données recueillies par un jeu Facebook appelé At The Pool, y compris les mots de passe utilisés pour accéder aux comptes des joueurs. WhatsApp de Facebook a également été touché au début mai, lorsqu'il a été révélé qu'une vulnérabilité permettait aux pirates informatiques d'installer des logiciels espions sur des appareils cibles via un appel vocal infecté.

Questions à la suite de la rupture

Chatrbox a publié une déclaration contestant le rapport, reconnaissant la violation de Instagram, mais affirmant que la base de données ne contenait que 350 000 enregistrements et qu'elle ne contenait pas d'e-mails ni de numéros de téléphone privés. L'accès à la base de données a été supprimé, il est donc impossible de vérifier cette affirmation à ce stade. TechCrunch a ajouté la déclaration Chatrbox à leur article, mais se tient à côté du numéro d'origine pour le moment.

Quel que soit le nombre total de comptes exposés dans cette violation Instagram, il convient de se demander pourquoi certains d'entre eux étaient toujours assis dans un seau AWS non protégé après des années d'incidents similaires. Aucune entreprise n’a vraiment le prétexte de permettre que cela se produise, mais surtout celle associée à Facebook et à la gestion de leurs informations d’utilisateur.

Pankaj Parekh, responsable des produits et des stratégies chez SecurityFirst, a commenté:

«Cette brèche est vraiment deux brèches. Comment Chtrbox a-t-il eu accès aux données privées de millions d'utilisateurs Instagram? C'était peut-être une exposition connue à l'API dans Instagram – l'enquête est en cours. Et pourquoi Chtrbox n’a-t-il pas sécurisé les données qu’ils ont publiées sur AWS? Le stockage dans le cloud doit être sécurisé – une technologie permettant de sécuriser les données dans le cloud est disponible. Tant Chtrbox que Instagram ont adopté une approche légère pour la sécurisation des données personnelles et les deux devraient être pénalisés. ”

Comme le souligne Parekh, il n'est toujours pas clair si Chtrbox était même autorisée à avoir certaines des informations de contact sensibles qui étaient apparemment en sa possession. Instagram a eu plusieurs problèmes avec son API au cours des deux dernières années, notamment un incident survenu en août 2017 qui a révélé les informations personnelles de millions d'utilisateurs.

Le moment choisi pour la violation d'Instagram est particulièrement mauvais pour Facebook. La société n'a vraiment pas besoin d'ajouter quoi que ce soit à la série apparemment interminable de gaffes qui remonte au scandale Cambridge Analytica du début de 2018, mais surtout pas avec sa crypto-monnaie «Project Libra», qui devrait être lancée au début de 2020. Les utilisateurs de Facebook et les comptes de ses différentes filiales ont déjà une grande valeur pour les pirates, mais cette valeur montera en flèche lorsque l'accès à ces comptes pourrait potentiellement donner accès à des fonds de cryptage tangibles.

Selon Colin Bastable, PDG de Lucy Security:

«Facebook, qui possède Instagram, a déclaré qu’il examinait la question. Comme le dit l’ancien gag, «Facebook a été informé d’une autre faille de sécurité. Mark Zuckerberg étudie la question. "

"Bien sûr, ce n'est pas une blague pour les 49 millions d'influenceurs, mais toute personne qui confie ses données à une partie de l'entreprise Facebook doit s'attendre à ce qu'elle ait une valeur de revente."

Si les informations financières ne sont pas incluses, est-ce vraiment important?

Les célébrités et les personnalités publiques ne veulent certainement pas que leur adresse électronique et leur numéro de téléphone privés soient exposés, mais à part cela, il ne semble pas y avoir beaucoup de données dans la violation Instagram qui suscite de l'inquiétude.

Le plus gros problème est que ces petits morceaux de données sont inévitablement accumulés dans des dépôts monstrueux d'informations personnelles, caractérisés par des vidages de données tels que la série «Collection». Plus il y a de données accumulées sur une entreprise ou un particulier, plus l'attaquant a la possibilité de mener une attaque de phishing ciblée, une prise de contrôle de compte ou une arnaque d'ingénierie sociale.

Comme l'explique Colin Little, analyste principal des menaces, Centripetal Networks:

«Cet événement confirme à quel point nos propres données sont similaires à un dentifrice: une fois que toutes les données ont été utilisées, elles sont fermées et ne rentrent jamais. Les numéros de téléphone, adresses e-mail et autres informations personnelles peuvent être légalement achetés et vendus. nous devons consentir à cette loi est de lire les petits caractères ou de s'abstenir d'utiliser le service; il peut également être acquis illégalement par des criminels, car la base de données dans laquelle ils résident est mal sécurisée. Dans presque tous les pays du monde, lorsque j'utilise le service d'une entreprise telle qu'un mécanicien, ce mécanicien est seul responsable de la qualité et de la sécurité du produit. Je ne dois pas savoir si VIP a vérifié les normes de travail d’une chaîne de réparation de silencieux nationale, puis s’assurer que la chaîne passe des contrats avec d’innombrables tiers. C'est le risque d'utiliser des services en ligne, voire de créer un compte: que ces informations personnelles soient vendues à des tiers à mon insu et sans consentement véritablement éclairé. "

Laurence Pitt, Directeur de la sécurité stratégique chez Juniper Networks, étend la portée du danger:

«Au cours des six derniers mois, de nombreuses informations ont été rapportées selon lesquelles les bases de données cloud publiques sont laissées sans mots de passe forts et sont accessibles à tous. Il existe de la documentation sur la manière de procéder, et même des outils tels que GrayHatWarfare qui aident les gens! En substance, quiconque possède un savoir-faire réduit peut trouver des bases de données ouvertes et suffisamment de personnes le recherchant, ce n’est qu’une question de temps avant de découvrir une base de données contenant des informations sensibles. Ce que je me demande vraiment, c’est que, compte tenu de toutes les histoires dont nous avons entendu parler à propos des bases de données découvertes, et sachant qu’il ya environ 45 MILLIONS de bases de données ouvertes, combien de bases de données sont découvertes et immédiatement revendues en secret à quelqu'un sur DarkNet?

Avec toute l'éducation des utilisateurs finaux sur la façon dont les mots de passe forts, la biométrie et l'AMF sont le moyen de nous protéger, n'est-il pas temps que davantage d'organisations détenant nos données renforcent de la même manière? "

Sécurisation des compartiments de nuage AWS

Même si une entreprise de la taille de Facebook devrait en savoir plus, les violations de données dues à la non-sécurisation correcte des compartiments AWS ne constituent pas toujours un cas de mauvaises pratiques de sécurité ou de surveillance. La rapidité et la facilité d'intégration avec d'autres applications sont souvent contraires aux procédures de sécurité appropriées.

Ameya Talwalkar, cofondatrice et directrice générale de Cequence Security, résume le problème de la manière suivante:

«Très souvent, nous constatons qu'une base de données accessible stockant des données confidentielles confidentielles dans la couche d'application est accessible sur Internet. Dans la plupart des cas, aucune base de sécurité intrinsèque n'est intégrée à ces bases de données. En effet, d’autres services et applications du niveau applicatif sont censés y accéder – l’authentification postérieure.

«Il existe une notion de confiance explicite entre les services / applications utilisant ces bases de données. Dans les cas où ces bases de données prennent en charge la sécurité / l’authentification, elles ne sont généralement pas activées afin de traiter les requêtes le plus rapidement possible, en fonction du modèle de confiance explicite. Comme ces couches d'application changent très rapidement en raison de cycles de développement rapides, de nombreux changements surviennent à ce niveau d'application. Dans certains cas, ces modifications laissent de grandes bases de données sensibles accessibles pour l’internet public. Ces expositions imprévues sont dues à des erreurs dans les stratégies de pare-feu, au déplacement de zones de sécurité, au déplacement de charges de travail et à l’équilibrage de la charge.

«Malheureusement, les entreprises ne découvrent pas de telles erreurs tant qu’une telle violation n’a pas été signalée par les médias, ce qui a déjà causé beaucoup de dégâts aux utilisateurs et à la marque.

«Comment ça se passe? Les attaquants analysent en permanence des serveurs / services ouverts / accessibles sur Internet. Ils se concentrent davantage sur les services hébergés dans les environnements de cloud public / privé, où ils savent que les environnements changent fréquemment, ce qui augmente la probabilité d'erreurs dans les stratégies de sécurité. Lorsqu'ils découvrent des bases de données aussi sensibles, ils récupèrent le plus de données possible. C’est ce qui est arrivé à USPS dans le passé et aux influenceurs Instagram aujourd’hui. "

Le dernier Instagram #databreach de 49 millions d'utilisateurs a été ajouté à la longue liste de bases de données AWS connectées à Internet sans sécurité adéquate. #respectdata Cliquez pour tweeter

Chaque entreprise aura ses propres défis en termes d’intégration de périphériques et d’API hérités avec les services de cloud Amazon AWS. Le livre blanc sur les meilleures pratiques de sécurité AWS d’Amazon est un bon point de départ. Un autre élément à examiner est le nouveau paramètre de chiffrement par défaut pour les nouveaux volumes EBS. Toutefois, quels que soient les besoins de votre entreprise, cette récente violation d'Instagram montre que les bases de données AWS ne peuvent pas être en ligne sans mot de passe pour une durée indéterminée. Etant donné la facilité relative de numérisation pour eux et le nombre de personnes qui le font, un seau non protégé peut de manière réaliste être localisé en quelques heures.


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.