WWE piratage des données de 3 millions d'utilisateurs
World Wrestling Entertainment, Inc. (WWE) a annoncé que la société enquête sur un incident dans lequel une base de données non protégée de plus de 3 millions d'utilisateurs enregistrés a été découverte par un Bob Dyachenko de l'entreprise de sécurité cybernétique Kromtech.
Selon Dyachenko, la base de données a été découverte non protégée sur Amazon Web Services S3 (AWS) contenant les informations personnelles des utilisateurs, y compris les noms, les adresses électroniques et les adresses, la date de naissance, les genres, l'origine ethnique, les gains, les antécédents scolaires et les tranches d'âge des enfants.
Dyachenko a déclaré à Forbes que toute personne connaissant l'adresse Web à rechercher aurait pu télécharger la base de données en texte clair car elle n'avait aucune sécurité, même pas un mot de passe. Il a également remarqué une autre base de données hébergée sur le serveur Amazon contenant des informations personnelles sur les fans européens de la WWE, y compris les noms, les adresses et les numéros de téléphone. Bien qu'il soit peu clair quel département de WWE Corporation appartient à la base de données; Dyachenko croit que la fuite pourrait provenir du département de marketing car les données contiennent également des données de suivi des médias sociaux, y compris les messages des fans de la WWE et des Superstars.
Dyachenko a informé la société de la vulnérabilité le 4 juillet et selon la déclaration officielle de la WWE, la vulnérabilité "a été sécurisée". Dans une déclaration, WWE a reconnu le hack et a déclaré qu'aucune donnée de carte de crédit ou mot de passe n'a été divulgué. "Bien qu'aucune information sur la carte de crédit ou le mot de passe n'ait été incluse, et donc pas à risque, WWE étudie une vulnérabilité d'une base de données hébergée sur Amazon Web Services (AWS), qui a maintenant été sécurisée. WWE utilise les principales sociétés de sécurité informatique Smartronix et Praetorian pour gérer l'infrastructure de données et la cybersécurité et effectuer des audits de sécurité réguliers sur AWS. Nous travaillons actuellement avec Amazon Web Services, Smartronix et Praetorian pour assurer la sécurité continue de l'information de nos clients ", a déclaré le communiqué.
Anurag Kahol, CTO à Bitglass a commenté le problème et a déclaré à HackRead que «cet incident sert à mettre en évidence le modèle de responsabilité partagée du cloud et renforce le fait que, bien que les applications cloud elles-mêmes puissent être sécurisées, il appartient aux entreprises d'utiliser les applications de manière sécurisée . En ce qui concerne ce cas particulier, il existe aujourd'hui des technologies qui pourraient avoir rapidement, facilement et efficacement chiffré le client confidentiel PII, en route vers le nuage. Cela garantirait que, même après un accès non autorisé, les données seraient protégées. " Ce n'est pas la première fois qu'une base de données non protégée a été découverte hébergée sur Amazon. Le mois dernier, un fichier secret du Pentagone n'a pas été protégé sur un serveur Amazon contenant 28 Go de données confidentielles liées au projet militaire américain.
Source : https://www.hackread.com/wwe-database-with-3-million-records-leaked/
