Une étourderie liée à la consommation de stupéfiants ? Les chercheurs de vpnMentor ont découvert un bucket AWS S3 mal sécurisé, exposant les données de dizaines de milliers de clients de dispensaires de cannabis américains. Une fuite de données dramatique qui pourrait mener au licenciement de certaines victimes…
Alors qu’ils menaient un projet de cartographie du web, les chercheurs Noam Rotem et Ran Locar de vpnMentor ont fait une étrange découverte. Celle d’un bucket de stockage Amazon Web Services S3 mal sécurisé, contenant les données collectées par un système de point de vente utilisé par de nombreux dispensaires de cannabis américains.
En menant l’enquête, les chercheurs ont déterminé que cette base de données appartient à THSuite : une entreprise basée à Seattle qui fournit son logiciel à toute l’industrie américaine du cannabis. Parmi les différents dispensaires affectés par cette fuite, vpnMentor cite spécifiquement Amedicanna Dispensary dans le Maryland, Bloom Medicinals dans l’Ohio et Colorado Grow Company dans le Colorado.
Découvert le jour de Noël, ce bucket S3 contenait plus de 85 000 fichiers liés aux transactions réalisées par les dispensaires. Parmi les informations exposées, on compte notamment les données de commandes et d’inventaires.
Le plus inquiétant est que la database comprenait aussi les noms, numéros de téléphones, adresses email, date de naissance, adresses postales, numéros de passeports, et même les photos d’identité et signatures de plus de 30 000 clients et visiteurs de dispensaires. Dans certains cas, la date des achats, la quantité et même les variétés de cannabis achetées par le client ont été révélées.
Après avoir été averti par vpnMentor, THSuite a fermé sécurisé le bucket AWS S3 le 14 janvier 2020. De leur côté, les dispensaires s’activent à identifier tous les patients affectés par cette fuite de données afin de les notifier individuellement.
Cette fuite de données AWS S3 pourrait provoquer le licenciement des victimes
Comme l’explique vpnMentor, cette fuite de données est particulièrement dramatique en termes de confidentialité. Pour cause, même si la consommation médicale ou récréative de cannabis exposée ici est autorisée par la loi américaine, cette divulgation peut avoir des conséquences négatives pour les victimes sur le plan personnel et professionnel.
Rappelons en effet que de nombreuses entreprises américaines interdisent à leurs employés l’usage de cannabis. Certains clients de dispensaires pourraient donc perdre leur travail à cause de ce Data Leak, notamment s’ils travaillent pour une agence fédérale.
De même, comme dans la plupart des cas de fuite de données, les nombreuses informations exposées pourraient être utilisées à des fins de phishing par des cybercriminels. Pour l’heure, on ignore si des acteurs malveillants ont eu accès à ce bucket avant qu’il soit sécurisé.
La mauvaise configuration des buckets AWS S3 est un phénomène de plus en plus courant, à mesure que les entreprises se tournent vers le Cloud. Cette semaine, Microsoft a également admis avoir mal sécurisé une base de données Cloud laissant plus de 250 millions d’enregistrements exposés. Il est essentiel que les entreprises comprennent les risques liés à l’utilisation du Cloud, et apprennent à mieux gérer leurs buckets S3 et autres bases de données sur le nuage…
Cet article Un bucket AWS S3 mal réglé dévoile les données des fumeurs de cannabis a été publié sur LeBigData.fr.
