Une base de données contenant les détails de huit millions de transactions a été mise en ligne sans la moindre protection. Elle comportait de nombreuses informations personnelles de clients d’Amazon, eBay, PayPal ainsi que d’autres sites marchands.

au sommaire

    Une équipe de chercheurs en sécurité de Comparitech, menée par Bob Diachenko, a découvert une base de données contenant des informations se rapportant à huit millions de transactions. La moitié provient d'AmazonAmazon Royaume-Uni et d'eBay, tandis que l'autre moitié concerne des clients de Shopify, PayPal, Stripe, ainsi que d'autres sites marchands.

    Il s'agit d'une base de données MongoDB hébergée par Amazon Web Services (AWS), mise en ligne sans chiffrement ni mot de passe. Son contenu a été indexé par des moteurs de recherche le 2 février, et découvert par les chercheurs le lendemain. Bob Diachenko a immédiatement contacté Amazon, mais il n'est parvenu à identifier le propriétaire de la base de données que le 8 février. Ce dernier l'a ensuite désactivée dans l'heure.

    Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock
    Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock

    Les données pourraient être utilisées pour une campagne d’hameçonnage ciblée

    Le nom de l’entreprise responsable n'a pas été dévoilé, mais les informations proviennent d'une applicationapplication utilisée par les vendeurs pour calculer la TVA transfrontalière pour différents pays d'Europe. Elles incluent les noms des clients, des adresses e-mail et postales, des numéros de téléphone, la liste de produits achetés et les quatre derniers chiffres du numéro de la carte bancaire utilisée.

    Des milliers de requêtes d'Amazon Marketplace Web Services (MWS), un jeton d'authentificationauthentification MWS, un identifiant de clé d'accès AWS et une clé secrèteclé secrète ont également été exposés. Ils pourraient être utilisés pour récupérer d'autres informations sur les transactions des vendeurs. Selon un porteporte-parole d'Amazon, la base de données ne contenait pas de mots de passe des clients, ni d'informations de paiement complètes. Les chercheurs ne savent pas si d'autres personnes ont pu accéder à la base de données, dont le contenu pourrait être utilisé pour façonner des e-mails d'hameçonnagehameçonnage très ciblés et donc plus crédibles.