Une base de données contenant les détails de huit millions de transactions a été mise en ligne sans la moindre protection. Elle comportait de nombreuses informations personnelles de clients d’Amazon, eBay, PayPal ainsi que d’autres sites marchands.

Cela vous intéressera aussi

Une équipe de chercheurs en sécurité de Comparitech, menée par Bob Diachenko, a découvert une base de donnéesbase de données contenant des informations se rapportant à huit millions de transactions. La moitié provient d'Amazon Royaume-Uni et d'eBay, tandis que l'autre moitié concerne des clients de Shopify, PayPal, Stripe, ainsi que d'autres sites marchands.

Il s'agit d'une base de données MongoDB hébergée par Amazon WebWeb Services (AWS), mise en ligne sans chiffrementchiffrement ni mot de passemot de passe. Son contenu a été indexé par des moteurs de recherche le 2 février, et découvert par les chercheurs le lendemain. Bob Diachenko a immédiatement contacté Amazon, mais il n'est parvenu à identifier le propriétaire de la base de données que le 8 février. Ce dernier l'a ensuite désactivée dans l'heure.

Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock
Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock

Les données pourraient être utilisées pour une campagne d’hameçonnage ciblée

Le nom de l’entreprise responsable n'a pas été dévoilé, mais les informations proviennent d'une applicationapplication utilisée par les vendeurs pour calculer la TVA transfrontalière pour différents pays d'Europe. Elles incluent les noms des clients, des adresses e-mail et postales, des numéros de téléphone, la liste de produits achetés et les quatre derniers chiffres du numéro de la carte bancaire utilisée.

Des milliers de requêtesrequêtes d'Amazon Marketplace Web Services (MWS), un jetonjeton d'authentificationauthentification MWS, un identifiant de clé d'accès AWS et une clé secrèteclé secrète ont également été exposés. Ils pourraient être utilisés pour récupérer d'autres informations sur les transactions des vendeurs. Selon un porte-parole d'Amazon, la base de données ne contenait pas de mots de passe des clients, ni d'informations de paiement complètes. Les chercheurs ne savent pas si d'autres personnes ont pu accéder à la base de données, dont le contenu pourrait être utilisé pour façonner des e-mails d'hameçonnage très ciblés et donc plus crédibles.