Sécurité

Une défaillance du serveur expose 250 Go de données bancaires

Un serveur sans sécurité adéquate a mis en danger environ 250 Go de documents scannés par plusieurs banques françaises. L’information a été publiée par The Hack, après notification de Data Group, une équipe de chercheurs qui analysent la vulnérabilité des systèmes industriels.

Selon le rapport, la plupart des contenus affichés sur le serveur appartiennent à des clients de Banco Pan (anciennement PanAmericano). Ce matériel comprend des documents d’identification, tels que RG, CPF et CNH, ainsi que des justificatifs d’adresse et de contrat.

Les dossiers concernent également les mandats, les relevés, les holérites, les fiches de paie et même les cartes de crédit des clients. Le Hack a indiqué qu’en raison de la quantité de fichiers, il n’était pas possible de préciser combien de clients étaient concernés.

Pour se faire une idée de l’incident, le matériel compte environ 1 million de fichiers, selon le Data Group. Les données n’ont cependant aucun rapport avec le nombre de clients, puisqu’il y a plus d’un document par compte.

  Le bureau de change sud-coréen est envahi et perd 31 millions de dollars US en cryptomycines

Les chercheurs ont trouvé des documents scannés de retraités, de pensionnés, de militaires et de fonctionnaires. Ils estiment que l’environnement vulnérable appartient à un correspondant bancaire qui sert exclusivement ce groupe. En plus de Banco Pan, il existe des données de trois autres institutions financières qui se concentrent sur le même public.

A partir des documents, il était possible d’avoir des détails sur les revenus des clients avec des salaires ou des aides, en plus de leurs mouvements bancaires. Le matériel présente également des relevés générés par les services bancaires sur Internet qui, éventuellement, ont été utilisés comme preuve de revenus.

Le Hack prétend que les documents ont été stockés dans un seau de Simple Storage Service (S3), un service de stockage en nuage d’Amazon. L’exposition s’est produite parce que le serveur était configuré comme public, ce qui a permis l’accès d’un utilisateur non authentifié.

Selon le rapport, le serveur est devenu inaccessible et rien n’indique que les fichiers aient circulé sur Internet.

  Près de 30 000 clients de XP Investimentos se sont fait voler des données

PerlmOl a cherché la Pan Bank, mais n’a pas obtenu de réponse. La banque a également déclaré que le serveur appartient à un partenaire dont le nom n’a pas été révélé.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire