La bourse ferme dans 3 h 19 min

Une base de données d'Amazon, eBay, PayPal... expose les données personnelles des clients

Edward Back, Journaliste hi-tech

Une équipe de chercheurs en sécurité de Comparitech, menée par Bob Diachenko, a découvert une base de données contenant des informations se rapportant à huit millions de transactions. La moitié provient d’Amazon Royaume-Uni et d’eBay, tandis que l’autre moitié concerne des clients de Shopify, PayPal, Stripe, ainsi que d’autres sites marchands.

Il s’agit d’une base de données MongoDB hébergée par Amazon Web Services (AWS), mise en ligne sans chiffrement ni mot de passe. Son contenu a été indexé par des moteurs de recherche le 2 février, et découvert par les chercheurs le lendemain. Bob Diachenko a immédiatement contacté Amazon, mais il n’est parvenu à identifier le propriétaire de la base de données que le 8 février. Ce dernier l’a ensuite désactivée dans l’heure.

Une fuite contenant 8 millions de transactions expose les données personnelles de clients de sites marchands. © Carloscastilla, Adobe Stock

Les données pourraient être utilisées pour une campagne d’hameçonnage ciblée

Le nom de l’entreprise responsable n’a pas été dévoilé, mais les informations proviennent d’une application utilisée par les vendeurs pour calculer la TVA transfrontalière pour différents pays d’Europe. Elles incluent les noms des clients, des adresses e-mail et postales, des numéros de téléphone, la liste de produits achetés et les quatre derniers chiffres du numéro de la carte bancaire utilisée.

Des milliers de requêtes d’Amazon Marketplace Web Services (MWS), un jeton d’authentification MWS, un identifiant de clé d’accès AWS et une clé secrète ont également été exposés. Ils pourraient être utilisés pour récupérer d’autres informations sur les transactions des vendeurs. Selon un porte-parole d’Amazon, la base de données ne contenait pas de mots de passe des clients, ni d’informations de paiement complètes. Les chercheurs ne savent pas si d’autres personnes ont pu accéder à la base de données, dont le contenu pourrait être utilisé pour façonner des e-mails d’hameçonnage très ciblés et donc plus...

> Lire la suite sur Futura