Exactis, une entreprise de marketing et d’agrégation de données basée en Floride à Palm Coast, a rendu accessibles des millions de fichiers et de données confidentielles sur des entreprises et des consommateurs.
Exactis se présente comme “l’un des principaux compilateurs et agrégateurs de données premium entreprises & consommateurs. Avec plus de 3,5 milliards d’enregistrements (mis à jour mensuellement), notre entrepôt de données universel est l’un des plus importants et des plus respectés dans l’industrie du marketing numérique et direct“, indique la société.
Il a suffit d’une seule erreur, grossière, de sécurité pour que 340 millions de fichiers, dont 110 millions sont des données d’entreprises (soit 2 To d’informations au total), contenant des données confidentielles se retrouvent accessibles à tous, et donc aux hackers : numéros de téléphone, adresses postales ou électroniques, centres d’intérêts et habitudes d’achat, nombre d’enfants, leur âge et sexe, renseignements sur la religion… Presque tous les citoyens américains y sont représentés, a déclaré le chercheur en sécurité, Vinny Troia, qui a découvert les informations en question sur un serveur accessible au public, Exactis y ayant publié sa vaste base de données. Le chercheur a prévenu la société ainsi que le FBI, et indiqué qu’Exactis avait sécurisé le serveur en question. Le 29 juin, sur son compte Twitter, le chercheur a indiqué qu’il allait travailler directement avec l’entreprise pour savoir s’il y avait eu des accès à cette base et, si oui, qui.
I have spoken with Exactis and will be working with them directly to determine if/who accessed the data. @NightLionSec is on it. #ExactisBreach
— Vinny Troia (@vinnytroia) 29 juin 2018
De possibles arnaques par phishing
Rien n’indique pour le moment que les informations exposées dans la base de données Exactis aient été dérobées et utilisées avec malveillance, mais ” la quantité d’information stockées sur le serveur public pourrait fournir suffisamment d’informations sur une personne pour prendre le contrôle de sa boîte de réception, usurper l’identité d’un ami, d’un employé ou d’un partenaire de confiance et amener les destinataires à transférer de l’argent ou à envoyer des informations sensibles “, commente Ryan Kalember, vice-président senior Stratégie de sécurité chez Proofpoint.
“Si un hacker combinait ces informations avec celles des données compromises d’Equifax [les données de 145 millions d’Américains ont fuité à l’automne dernier], il pourrait lancer des attaques intelligentes, imagine de son côté Nicolas Fischbach, CTO de Forcepoint. C’est également un atout énorme pour les criminels qui utilisent l’usurpation d’identité comme outil de phishing. Si un hacker voulait faire preuve d’imagination, il pourrait utiliser les données pour deviner les mots de passe et les questions d’authentification secondaires telles que « Quel était le nom de votre premier chien ?”
A ce jour, Exactis n’a fait aucun commentaire sur cette vulnérabilité. Site, blog, comptes Facebook et Twitter de l’entreprise restent muets.
La loi sur la protection des données des consommateurs en Californie pourrait-elle servir de modèle pour les protections au niveau fédéral, et ainsi éviter ces expositions préoccupantes ?