En juillet 2019, une brèche a été découverte dans la société mondiale d’hôtellerie Choice Hotels.
La brèche impliquait une base de données MongoDB hébergée par un fournisseur qui fournit des services à la société. Comme beaucoup d’autres brèches, elle est passée complètement inaperçue du personnel interne, mais a été découverte par un consultant en sécurité externe qui scanne périodiquement Internet à la recherche de connexions ouvertes.
La base de données a été exposée au monde extérieur par le biais d’une connexion ouverte qui ne nécessitait aucun mot de passe ou d’autres moyens d’authentification pour y accéder. Lors de la découverte de la brèche, le consultant a trouvé une carte de visite numérique. Le pirate a annoncé qu’il était en possession de la base de données client, et demandait une rançon de 3900 euros.
L’intrus avait l’intention de chiffrer la base de données, mais la tentative a échoué. La base de données volée était donc restée intacte, car la société l’a sécurisée et a fermé la connexion dans les quatre jours suivant la découverte.
Fuite de données dans l’hôtellerie : 700 000 invités ont vu leurs données personnelles exposées
La base de données contenait 5,7 millions d’enregistrements, bien que Choice Hotels ait déclaré que la plupart d’entre eux étaient des enregistrements tests et que seulement 700 000 étaient des clients réels.
Les enregistrements de ces anciens clients comprenaient des informations personnelles :
- Noms complets
- Adresses
- Numéros de téléphone
- emails
- Statuts de consentement.
La direction de l’entreprise a insisté sur le fait qu’aucune information relative aux paiements, aux mots de passe ou aux réservations n’était compromise.
Ils ont également déclaré que l’entreprise contacterait les clients concernés dans les jours à venir.
Menaces futures pour 700 000 clients
Ces 700 000 clients peuvent sans aucun doute exhaler un soupir de soulagement du fait qu’aucune information de paiement ou donnée hautement confidentielle n’était impliquée. Cependant, ce n’est pas parce qu’il n’y avait pas eu d’impacts financiers que ces personnes sont hors de danger.
C’est l’une des idées fausses concernant les fuites de données importantes.
Imaginez que vous êtes l’une des 700 000 personnes dont les informations ont été exposées. Un pirate possède maintenant l’accès à votre adresse électronique et possède votre numéro de téléphone portable. Il y a de fortes chances que vous soyez victime d’un nombre croissant d’attaques de phishing au cours des prochaines années, car le monde criminel sait désormais qu’il dispose d’une véritable adresse électronique fonctionnelle.
Même si l’auteur initial de la menace n’utilise pas l’adresse volée, il la vendra dans le cadre d’une transaction de masse portant sur des milliers d’adresses électroniques. Il en va de même pour le phishing par SMS.
Cela va au-delà du simple nombre croissant d’attaques potentielles de phishing. Les escrocs peuvent utiliser les données personnelles actuellement en leur possession pour rendre leurs attaques plus convaincantes.
Les futurs auteurs pourraient même se faire passer pour Choice Hotels et tenter d’obtenir des informations plus sensibles. Les conséquences sur le long terme d’une violation de données sont nombreuses et les malheureuses victimes pourraient être leurs prochaines cibles de pirates dans les années à venir.
Les leçons à tirer de cette fuites de données
De nombreuses entreprises se tournent actuellement vers le cloud pour garantir la sécurisation des données essentielles à leur activité. Ironiquement, l’un des principaux facteurs de motivation des pirates est lié à la sécurité.
Si le transfert d’applications web à un tiers peut être un moyen de répercuter le coût et la charge de la sécurisation de vos systèmes, il n’en demeure pas moins que vous ayez la responsabilité de protéger ces données. C’est pourquoi il est essentiel de contrôler tous vos fournisseurs.
Cela devrait inclure une demande formelle de vous fournir les mesures, contrôles et normes de sécurité informatique qu’ils ont mis en œuvre.
Cette brèche est un autre exemple de l’impact d’une connexion ouverte sur l’internet. En janvier 2017, les pirates informatiques ont ciblé près de 28 000 sites MongoDB non authentifiés. MongoDB a répondu que la plupart de ces attaques étaient dues à des paramètres mal configurés, à un manque d’application d’authentification et à des systèmes mal patchés.
Qu’il s’agisse de la base de données d’une grande entreprise ou d’une simple connexion RDP, l’ère des connexions ouvertes est révolue. Choice Hotels et son fournisseur ont tous deux eu la chance que seul un amateur les ait infiltrés. Un professionnel expérimenté aurait pu détourner le serveur et l’utiliser pour diffuser des malwares.
La dépendance continue des solutions de sécurité email
Il y a une autre conséquence cachée de cette fuite et d’autres fuites similaires qui sont menées à grande échelle. Il n’y a pas que les emails personnels qui ont été compromis. De nombreuses personnes font des réservations ou des transactions en ligne en utilisant leur compte de messagerie professionnel.
Cela signifie que leurs employeurs en subiront également les conséquences. Les cybercriminels peuvent s’introduire rapidement dans le serveur d’une organisation et lançant d’autres types d’attaques.
Une fois qu’ils arrivent à compromettre le réseau de l’entreprise, ils peuvent effectuer une reconnaissance pour connaître la culture communicative de l’organisation d’accueil et, plus important encore, qui contrôle les factures et la paie.
C’est à cause de la brèche dans la sécurité de Choice Hotels et de tant d’autres incidents de cybersécurité qui se produisent quotidiennement que toutes les entreprises doivent lutter avec diligence contre le phishing, le BEC (Business Email Compromise, ou arnaque au président) et d’autres types d’attaques via la messagerie électronique.
SpamTitan et son portefeuille de contrôles de sécurité tels que la double protection antivirus, le sandboxing, la prévention des fuites de données, le filtrage du contenu des emails et l’authentification DMARC peuvent garantir que votre entreprise et vos utilisateurs ne sont pas victimes de la négligence d’un tiers.