Babysitting App Sitter a exposé 93 000 enregistrements en ligne en raison de la vulnérabilité de MongoDB

Publié par Abeerah Hashim Traduction Yomane sur 27 Août 2018, 18:20pm

Catégories : #Failles & Alertes de Sécurité

Au début du mois, le chercheur Bob Diachenko a annoncé qu'il avait trouvé plus de 2 millions de notices de patients mexicains en ligne . Après des recherches plus poussées, il a trouvé que la vulnérabilité de MongoDB était à l’origine de ce compromis. Une fois de plus, il a découvert des milliers de dossiers divulgués en ligne à cause de la faille de MongoDB. Cette fois, c'est l'application de baby-sitting Sitter qui a exposé les données des clients.

Cyber Security News News Vulnérabilités Babysitting App Sitter App baby - sitting , les données exposées , des données de fuite , données fuite , MongoDB , base de données MongoDB , vulnérabilité MongoDB , Shodan , Sitter , App Sitter , fuite de données App Sitter , la vulnérabilité

Un chercheur indépendant en sécurité, Bob Diachenko, a trouvé une base de données exposée comprenant plusieurs milliers de dossiers indexés sur Shodan. Il a ensuite gratté la surface seulement pour découvrir que les données appartenaient à l'application de baby-sitting Sitter. Il a constaté qu'une vulnérabilité de MongoDB avait révélé environ 93 000 enregistrements de clients en ligne. Plus tard, il a divulgué publiquement sa découverte via un article sur LinkedIn .

Comme indiqué dans son blog,

"Le 13 août 2018, Shodan a indexé une autre base de données non protégée. En regardant de plus près, il semble que Sitter, "l’application n ° 1 pour la gestion des baby-sitters", ait exposé par inadvertance son instance de MongoDB au public. "

Selon M. Diachenko, le jeu de données se situait autour de 2 Go, contenant 93 000 enregistrements comprenant des informations personnelles explicites ainsi que des détails sur les transactions, des mots de passe cryptés et des numéros de carte de crédit partiels. En outre, il comprenait également des journaux de notification, des conversations intégrées aux applications et des demandes de baby-sitters, ainsi que la date, l'heure et l'adresse.

Sitter patché la vulnérabilité

Après sa découverte le 13 août 2018, Bob Diachenko a rapidement informé l'application. Par conséquent, Sitter a également corrigé le défaut peu de temps après avoir reçu l’alerte. Vous trouverez ci-dessous une copie de la déclaration de Sitter citée par Diachenko.

"Sitter a déjà informé tous ses utilisateurs et partenaires de la violation de données temporaire que vous avez identifiée qui a entraîné la semaine dernière au cours du développement de certaines améliorations du produit. La vulnérabilité de sécurité a été immédiatement sécurisée. Sitter est fière de sa confiance, de son ouverture et de sa transparence vis-à-vis de ses utilisateurs et s'engage à maintenir un environnement sécurisé pour ses utilisateurs. "

Bien que le chercheur confirme que la base de données reste à l'abri de toute attaque de ransomware, la durée pendant laquelle les données sont restées exposées en ligne est encore inconnue.

Prenez votre temps pour commenter cet article.

Source : latesthackingnew
Suivez ce blog : Newsletter, Mail