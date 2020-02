Les chercheurs ont découvert qu’une application photo populaire a divulgué les données personnelles et les images de milliers de clients en raison d’un compartiment de stockage Amazon Web Services (AWS) non sécurisé.

La découverte a été faite par vpnMentor, dont les chercheurs ont découvert qu’une base de données S3 mal configurée appartenant à la société PhotoSquared, qui crée des tableaux photo imprimés à partir des images numériques des clients, a été laissée en ligne sans aucune protection par mot de passe.

La base de données S3 stockait 94,7 Go de données et contenait plus de 10 000 enregistrements de novembre 2016 à janvier 2020. Des photos d’utilisateurs, des enregistrements de commandes, des reçus et des étiquettes d’expédition ont tous été exposés à la suite de la fuite de données.

Comme les noms complets et les adresses de livraison à domicile des clients de PhotoSquared ont été laissés en ligne, tout pirate pourrait utiliser ces informations pour lancer des attaques contre eux.

Fuite de données PhotoSquared

Selon vpnMentor, la réputation de PhotoSquared pourrait souffrir en raison de la fuite de données et la société pourrait également faire face à des amendes de conformité. De plus, dans son rapport détaillant l’enquête, vpnMentor note que les clients de PhotoSquared pourraient être ciblés par des pirates et des voleurs, déclarant:

“En combinant l’adresse personnelle d’un client avec un aperçu de sa vie personnelle et de la richesse tirée des photos téléchargées, n’importe qui pourrait utiliser ces informations pour planifier des vols à domicile des utilisateurs de PhotoSquared. Parallèlement, les clients de PhotoSquared pourraient également être ciblés pour vol et fraude en ligne. Les pirates et les voleurs pourraient utiliser leurs photos et adresses personnelles pour les identifier sur les réseaux sociaux et trouver leurs adresses e-mail ou toute autre information personnellement identifiable (PII) à utiliser frauduleusement. »

La fuite de données a été trouvée grâce à un simple exercice de numérisation de port, mais heureusement, PhotoSquared a pu corriger la fuite seulement 10 jours après que la société a été contactée par les chercheurs.

Via le magazine Infosecurity