Jeremiah Fowler et les chercheurs en sécurité de Website Planet ont découvert une base de données non sécurisée contenant près d’un milliard d’enregistrements provenant de l’un des plus grands hébergeurs Web au monde, DreamHost.
Les données client exposées remontaient jusqu’à trois ans, allant du 24 mars 2018 au 16 avril 2021. On ne savait pas combien de temps la base de données était accessible au public.
L’équipe de recherche a découvert la fuite de la base de données le 16 avril 2021 et a immédiatement contacté DreamHost et la base de données a été sécurisée peu de temps après. La société a reconnu l’exposition des données le 4 mai 2021, ajoutant que les conclusions étaient transmises à son équipe juridique.
Une fuite de la base de données DreamHost a exposé les informations d’utilisateur et de configuration de WordPress
La fuite de la base de données a révélé 814 709 344 enregistrements contenant des informations sur l’administrateur et l’utilisateur des comptes WordPress hébergés ou installés sur DreamPress. La plate-forme permet aux clients de gérer leurs sites Web WordPress et de les faire évoluer facilement.
L’incident est la deuxième violation à affecter le fournisseur de services d’hébergement Web basé à Los Angeles en une décennie après qu’un utilisateur a vidé les informations du serveur sur PasteBin en 2021.
La fuite de DreamHost a exposé des données client, y compris l’URL d’emplacement de connexion WordPress, des informations d’identification personnelle telles que les prénoms, les noms et les adresses e-mail, les informations des comptes d’utilisateurs telles que les noms d’utilisateur et les rôles, par exemple. admin, éditeur, utilisateur enregistré, entre autres.
Fowler a noté que les attaquants pouvaient connecter des individus aux sites Web auxquels ils se sont abonnés en utilisant leurs adresses e-mail.
org 11 544,.net 11 054 et.us 454 fois.
Une requête de recherche a également renvoyé les noms d’agences gouvernementales telles que The United States Geological Survey, The General Services Administration, National Park Service et london.gov.uk.
Cependant, les chercheurs ont expliqué que les administrateurs ou les utilisateurs auraient pu s’inscrire sur les sites Web concernés à l’aide de leur courrier électronique professionnel.
La fuite de la base de données a également exposé les adresses IP des hôtes, les horodatages, les versions de build, les plugins et les détails du thème, y compris les informations de configuration et de sécurité. Diverses transactions telles que les enregistrements et les renouvellements de domaine ont également été exposées dans la fuite de la base de données.
La fuite de la base de données DreamHost a exposé les données des clients à des attaques potentielles de ransomware
Les chercheurs de Website Planet ont noté que l’exposition des informations de configuration et de sécurité pourrait permettre aux attaquants de ransomware de compromettre les sites Web.
L’exposition des e-mails des utilisateurs expose également les clients à des attaques de phishing ciblées et à des fraudes par ingénierie sociale utilisant des informations uniquement connues des propriétaires de domaine, des utilisateurs ou du fournisseur d’hébergement.
Ils pourraient utiliser ces informations pour facturer les clients et exiger le paiement des domaines et des abonnements ou demander les informations de paiement des clients. De même, la fuite de la base de données a exposé les opérateurs de sites Web à un risque potentiel de vol de domaine.
Les informations sur le rôle de l’utilisateur exposées pourraient également permettre aux attaquants d’identifier les personnes disposant de droits d’administration et de les cibler. Les pirates pourraient éventuellement utiliser les informations de configuration et de sécurité exposées pour exploiter diverses failles de sécurité dans des thèmes, des plugins et des installations WordPress obsolètes.
DreamHost, cependant, a contesté que tout acteur malveillant puisse utiliser les données client exposées pour compromettre les comptes d’utilisateurs. De plus, la société a affirmé que la base de données avait divulgué les données des clients de seulement 21 propriétaires de sites Web actuels et passés qui avaient été dûment contactés.
De plus, DreamHost a imputé une mauvaise configuration du pare-feu à la fuite de la base de données, ajoutant qu’un seul pirate informatique avait accédé à la base de données au cours de la période. Cependant, la société d’hébergement Web a admis avoir utilisé une base de données de journalisation pour stocker des données de test pour le développement de fonctionnalités sans authentification appropriée.
« Les mauvaises configurations continuent d’être une source importante de violations à la fois dans le cloud public et les centres de données privés », a déclaré Saumitra Das, CTO et cofondateur de Blue Hexagon. « Un élément clé de cette violation est la façon dont elle a révélé les piles logicielles des utilisateurs concernés et permettrait aux attaquants non seulement de vendre les données qu’ils ont volées, mais d’effectuer des attaques de phishing ou de vishing de suivi contre ces utilisateurs sur la base de ces connaissances ou même de trianguler. les sites Web hébergés de ces utilisateurs et tenter de les exploiter sur la base des versions logicielles révélées dans cette violation.
Les chercheurs ont déclaré que les #hackers pouvaient associer des personnes à des sites Web à l’aide de leurs e-mails et découvrir également des installations et des plugins WordPress obsolètes et non corrigés. #cybersécurité #respectdata
Cliquez pour tweeter
Das a déclaré que chaque fuite de base de données augmentait la quantité d’informations utilisables sous le contrôle des pirates.
« Les brèches deviennent une chaîne avec chaque donnée volée enrichissant les informations et les techniques que les attaquants peuvent utiliser pour atteindre leur objectif. Chaque violation de données s’ajoute au graphique des connaissances des victimes d’un attaquant, pour lui permettre de choisir la prochaine étape la plus simple ou la plus rentable à prendre.