Une base de données mise en ligne sans protections a exposé des données de millions de clients d’Amazon, eBay, PayPal et d’autres. © chinnarach, Adobe Stock
Tech

Une base de données d'Amazon, eBay, PayPal... expose les données personnelles des clients

ActualitéClassé sous :cybersécurité , base de données , informations personnelles

Une base de données contenant les détails de huit millions de transactions a été mise en ligne sans la moindre protection. Elle comportait de nombreuses informations personnelles de clients d'Amazon, eBay, PayPal ainsi que d'autres sites marchands.

Une équipe de chercheurs en sécurité de Comparitech, menée par Bob Diachenko, a découvert une base de données contenant des informations se rapportant à huit millions de transactions. La moitié provient d'Amazon Royaume-Uni et d'eBay, tandis que l'autre moitié concerne des clients de Shopify, PayPal, Stripe, ainsi que d'autres sites marchands.

Il s'agit d'une base de données MongoDB hébergée par Amazon Web Services (AWS), mise en ligne sans chiffrement ni mot de passe. Son contenu a été indexé par des moteurs de recherche le 2 février, et découvert par les chercheurs le lendemain. Bob Diachenko a immédiatement contacté Amazon, mais il n'est parvenu à identifier le propriétaire de la base de données que le 8 février. Ce dernier l'a ensuite désactivée dans l'heure.

Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock

Les données pourraient être utilisées pour une campagne d’hameçonnage ciblée

Le nom de l’entreprise responsable n'a pas été dévoilé, mais les informations proviennent d'une application utilisée par les vendeurs pour calculer la TVA transfrontalière pour différents pays d'Europe. Elles incluent les noms des clients, des adresses e-mail et postales, des numéros de téléphone, la liste de produits achetés et les quatre derniers chiffres du numéro de la carte bancaire utilisée.

Des milliers de requêtes d'Amazon Marketplace Web Services (MWS), un jeton d'authentification MWS, un identifiant de clé d'accès AWS et une clé secrète ont également été exposés. Ils pourraient être utilisés pour récupérer d'autres informations sur les transactions des vendeurs. Selon un porte-parole d'Amazon, la base de données ne contenait pas de mots de passe des clients, ni d'informations de paiement complètes. Les chercheurs ne savent pas si d'autres personnes ont pu accéder à la base de données, dont le contenu pourrait être utilisé pour façonner des e-mails d'hameçonnage très ciblés et donc plus crédibles.

Cela vous intéressera aussi
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !