Un million d'enregistrements de clients exposés via une instance Elasticsearch,

Y compris les détails des utilisateurs

L'équipe de cybersécurité de SafetyDetectives a découvert une importante fuite de données affectant la société de logiciels StoreHub. Les données exposées étaient stockées sur un serveur Elasticsearch de StoreHub, laissé ouvert sans protection par mot de passe ni chiffrement. StoreHub est basé en Malaisie et fournit un système logiciel de point de vente (POS) qui est principalement utilisé dans les restaurants et les magasins de détail.

StoreHub a été fondé en 2013 en Malaisie et a actuellement son siège social à Petaling Jaya. Leur produit est utilisé par plus de 15 000 entreprises selon leur site web, principalement dans la région de l'Asie du Sud-Est. Le serveur non protégé a potentiellement compromis les informations de milliers de restaurants et de magasins de détail, ainsi que de leur personnel et d'environ un million de clients. L'entreprise vend des logiciels de point de vente principalement aux entreprises F&B (nourriture et boissons), comme les restaurants, mais aussi aux magasins de détail.


Le logiciel POS est principalement utilisé pour traiter et enregistrer les achats et les transactions dans les entreprises en contact avec la clientèle (restaurants, cafés, bars, magasins, etc.), ainsi que pour émettre des reçus et suivre les ventes d'articles particuliers tels que les repas dans un restaurant, ou les vêtements individuels dans un magasin.

StoreHub a ainsi pu collecter les données de plus d'un million de personnes à travers l'Asie du Sud-Est, principalement les clients des entreprises utilisant son logiciel.
Données des clients des entreprises utilisant StoreHub

Les informations personnelles identifiables (PII) exposées des clients comprennent :

• les noms complets ;
• les numéros de téléphone ;
• adresses physiques ;
• adresses électroniques.

Ce n’est pas la première fois que des serveurs ElasticSearch font l’objet d’exposition. En juillet 2019, dans la province du Jiangsu en Chine, un serveur ElasticSearch, appartenant au département de la sécurité publique, accessible au public et non sécurisé aurait exposé deux bases de données comportant plus de 90 millions d’enregistrements de données personnelles et d’entreprises.

Autrement dit, le serveur de base de données ElasticSearch du département de la sécurité publique de la province du Jiangsu a été rendu accessible au public avec tous les droits d'administrateur, donnant accès à deux bases de données contenant des informations sensibles sur les personnes et les entreprises.

Une autre brèche de serveur non sécurisé en ligne avait été découverte exposant une importante quantité d’enregistrements client à la merci de toutes personnes malveillantes qui auraient découvert la vulnérabilité. Un groupe de casinos en ligne a divulgué des informations sur plus de 108 millions de paris, y compris des détails sur les informations personnelles des clients.

Les données ont été exposées via une base de données Elasticsearch mal configurée, sans mot de passe, et la vulnérabilité a été découverte par Justin Paine, un chercheur en sécurité. Les données personnelles sensibles sur des clients divulguées par le groupe de casinos et qui pourraient être exploitées par des pirates informatique comprenaient, entre autres, les vrais noms, adresses personnelles, numéros de téléphone les détails des cartes de paiement.

Un peu plus tôt en 2020, des données personnelles appartenant aux abonnés du site Internet du Figaro étaient exposées sur un serveur Elasticsearch. En effet, 8 To de données, contenant des données personnelles d’abonnés et d’inscrits au site ont été accessibles en ligne pendant plusieurs mois, avait révèlé Safety Detective, une entreprise de sécurité informatique, dans un rapport. Pour y accéder, aucun mot de passe n’était requis. Il suffisait de connaître l’adresse IP de la base de données.

« Les journaux API de la base de données contenaient les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période », indiquait le rapport.

Pour le cas de StoreHub, une déclaration conteste la chronologie de Safety Detectives, l'entreprise dit avoir été alertée le 3 février mais ne conteste pas l'existence du serveur non sécurisé. La société a mené une enquête qui, selon elle, a révélé « qu'aucune donnée financière sensible ni aucun mot de passe n'étaient contenus dans la vulnérabilité. »

La loi malaisienne pourrait être moins clémente, car elle prévoit des amendes substantielles en cas de non-respect des lois sur la protection des données.

Source : Safety Detectives

Et vous ?

Qu'en pensez-vous ?

Lire aussi

Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles

11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité

Des informations classées « Top Secret » de l'armée américaine et de la NSA ont été exposées en ligne, sur des serveurs Amazon

Microsoft veut qu'Azure devienne la solution serveur multijoueur pour toutes les plateformes, grâce à PlayFab Multiplayer Servers

Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP, et ce, depuis 2010