Serveur d'impression

Vistaprint a laissé une base de données de service client non protégée, exposant les appels, les chats et les e-mails – TechCrunch – Bien choisir son serveur d impression

Le 24 décembre 2019 - 5 minutes de lecture

Un chercheur en sécurité a trouvé une base de données exposée sur Internet appartenant au géant de l'impression en ligne Vistaprint.

Chercheur en sécurité Oliver Hough a découvert la base de données non chiffrée la semaine dernière. Il n'y avait pas de mot de passe dans la base de données, permettant à quiconque d'accéder aux données à l'intérieur. La base de données a été détectée pour la première fois par l'appareil exposé et le moteur de recherche de base de données Shodan le 5 novembre, mais elle peut avoir été exposée plus longtemps.

Hough tweeté pour avertir l'entreprise de la défaillance de la sécurité, mais n'a pas eu de réponse.

Vistaprint, détenue par le parent néerlandais Cimpress, a discrètement mis la base de données hors ligne après que TechCrunch ait communiqué, mais n'a pas commenté avant notre échéance. Robert Crosland, porte-parole de Vistaprint, a déclaré dans un communiqué après avoir publié que l'exposition avait affecté des clients aux États-Unis, au Royaume-Uni et en Irlande.

"C'est inacceptable et cela ne devrait en aucun cas se produire", a déclaré la société. "Nous menons actuellement une enquête complète pour comprendre ce qui s'est passé et comment éviter toute récidive future. Pour le moment, nous ne savons pas si ces données ont été consultées au-delà du chercheur en sécurité qui les a trouvées », a déclaré le porte-parole.

La société a déclaré qu'elle informerait les clients de l'exposition – dont beaucoup sont protégés par les règles strictes de protection des données du RGPD.

La base de données contenait cinq tables stockées avec des données sur plus de 51 000 interactions avec le service client, telles que les appels au service client ou les conversations avec un agent de support en ligne. Les données comprenaient également des informations personnellement identifiables, y compris les noms et les coordonnées, qui pourraient identifier les clients individuels.

Un tableau nommé «requêtes» contenait les requêtes des clients entrants, y compris le nom du client, son adresse e-mail, son numéro de téléphone et la date et l'heure de leur interaction avec le service client. Bon nombre de ces interactions avec le service à la clientèle remontaient à la mi-septembre.

Les données contenaient également des informations cachées au client. Chaque interaction du service client dans le tableau des «cas» semble avoir noté la requête du client en fonction des mots clés sélectionnés dans sa requête. Cela a aidé à déterminer le «sentiment» du client, qui a ensuite décrit sa plainte comme «négative» ou «neutre». Les données comprenaient également la «priorité» de l'interaction d'un client, lui permettant d'être poussé plus haut dans la file d'attente.

Un autre tableau nommé «chat» contenait des milliers d'interactions de chat en ligne ligne par ligne avec les agents de support, mais contenait également des informations sur le navigateur et la connexion réseau du client, où ils se trouvaient, quel système d'exploitation ils utilisaient et leur Internet fournisseur.

Certains des journaux de discussion enregistrés contenaient également des informations sensibles comme les numéros de commande et les numéros de suivi postal, mais il n'y avait pas de mot de passe ou de données financières dans la base de données exposée.

Le tableau «e-mails» contenait des fils de discussion entiers avec des clients détaillant les problèmes ou d'autres problèmes avec leurs commandes. Et, le tableau «téléphone» contenait des informations spécifiques sur chaque appel, y compris la date et l'heure, la durée pendant laquelle le client a été mis en attente, une transcription écrite de l'appel – comprenant souvent des détails sur les commandes du client – et un lien interne (qui nous n'avons pas pu accéder) à l'enregistrement de l'appel.

Les données contenaient également des informations de compte, y compris des adresses e-mail professionnelles et certains numéros de téléphone appartenant au personnel du service client de Vistaprint.

Selon Hough, la base de données n'envoyait ni ne recevait actuellement de données. La base de données a été nommée «migration», ce qui suggère qu'elle a été utilisée pour stocker temporairement des données pendant le déplacement des enregistrements client d'un serveur à un autre.

Mais on ne sait pas pourquoi la base de données a été exposée et laissée en ligne sans mot de passe.

Il s'agit du dernier exemple de défaillance de sécurité impliquant des contrôles de données internes laxistes. Cette année seulement, plusieurs expositions de données ont mis des millions de clients en danger, y compris le jeu en ligne "Magic: The Gathering", un site en ligne populaire de "camgirl", ainsi que le site de recherche d'emploi Monster.com et le géant informatique Tech Data.

Mis à jour avec une déclaration de Vistaprint.

Histoires liées:

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.