La base de données clients du courtier hypothécaire canadien est laissée ouverte sur Internet

by Posted on

La base de données d’un courtier hypothécaire canadien contenant des informations personnelles sur des milliers de personnes a été laissée ouverte sur Internet, selon des chercheurs en sécurité.

L’accès à la base de données appartenant à 8Twelve Financial Technologies, basée à Toronto, a été rapidement restreint après que l’entreprise a été avisée par le chercheur Jeremy Folwer et le personnel de Website Planet, qui offre des ressources aux créateurs de sites Web. .

Selon un rapport publié aujourd’hui, la base de données contient 717 814 enregistrements sur des milliers de résidents canadiens, avec des informations relatives aux prêts immobiliers, notamment des noms, des numéros de téléphone, des adresses e-mail, des adresses physiques, etc. De nombreux dossiers semblaient être des pistes hypothécaires de personnes cherchant à acheter une maison, à se refinancer, à obtenir une ligne de crédit sur capitaux propres ou à acheter un immeuble de placement, selon le rapport.

“Nous avons immédiatement envoyé un avis de divulgation responsable et 8Twelve a agi rapidement et professionnellement en restreignant l’accès du public dans les heures suivant notre découverte”, ont déclaré les chercheurs.

ITWorldCanada a envoyé un e-mail au directeur du marketing de 8Twelve Financial, Rick McLaughlin, demandant un entretien avec un responsable pour expliquer comment l’incident s’était produit. Aucune réponse n’a été reçue à l’heure de presse.

La société a deux secteurs d’activité : 8Twelve Mortgage pour les prêts hypothécaires, qui, selon le site de la société, négocie avec 65 prêteurs pour trouver les meilleurs taux hypothécaires dans la région de North York à Toronto ; et 8T Capital, qui propose des prêts à court terme.

Cette violation apparente des contrôles de sécurité n’est que la dernière d’une série de bases de données d’entreprise trouvées sans protection sur Internet. Souvent, ces fichiers mal configurés sont téléchargés sur des sites de stockage en nuage tels qu’Amazon AWS, où les créateurs les placent temporairement ou ont l’intention d’effectuer une analyse de données, puis oublient de protéger les fichiers de mots de passe ou de s’assurer qu’ils ne sont pas connectés publiquement. l’Internet.

Un blog du fournisseur SecurityTrails note que certaines des erreurs de base de données les plus courantes impliquent l’utilisation d’Elasticsearch, une base de données permettant de stocker et d’analyser de grandes quantités de données. Elasticsearch se lie par défaut à localhost uniquement, note l’article, ce qui est suffisamment sûr. Mais, ajoute-t-il, pour mettre Elasticsearch à la disposition d’une organisation, les administrateurs de bases de données commettent souvent l’erreur de lier Elasticsearch à l’interface du réseau public sans le pare-feu.

Un excellent outil pour trouver des bases de données exposées est le moteur de recherche Shodan, qui trouve tout ce qui est connecté à Internet. Comme le note un article de 2017 sur les bases de données exposées dans Wired, si vous souhaitez trouver toutes les bases de données MongoDB connectées à l’Internet public, tapez simplement “MongoDB” dans Shodan. Toutes les bases de données trouvées ne contiendront pas des informations personnelles sensibles, mais certaines peuvent le faire.

Selon Website Planet, la base de données contient :

  • 717 814 enregistrements. La base de données contient un dossier nommé “demandeur” et cinq dossiers nommés “application” ;
  • noms des candidats, e-mail, travail, domicile et numéros de téléphone portable. Certains enregistrements contiennent des adresses physiques, des états ou des provinces. Étant donné que la plupart des données peuvent être liées à un individu spécifique, les données trouvées dans les enregistrements peuvent être considérées comme des informations personnellement identifiables (PII) ;
  • dans un échantillon aléatoire de 10 000 enregistrements, le terme « e-mail » a renvoyé 18 382 résultats. Chaque enregistrement affiché contient deux adresses e-mail ; une propriété du demandeur accompagnée d’une correspondante de l’agent 8Twelve désigné par le chef de file. Presque tous les services de messagerie courants sont apparus dans les données, en particulier Gmail (13 695 résultats) et Yahoo (3 406), ainsi qu’Outlook, iCloud, AOL et un plus petit nombre de nombreux autres fournisseurs de messagerie.
  • Les pistes hypothécaires de nombreuses provinces du Canada sont rassemblées dans plusieurs dossiers marqués « Prod » (ce qui, selon nous, signifie « production »). Des notes apparaissent pour indiquer d’où proviennent les prospects : publicités Facebook, références, sites Web, etc. Les numéros d’identification de campagne sont également répertoriés dans les dossiers des candidats, ce que nous pouvons supposer être à des fins de suivi interne de l’efficacité des ventes et du marketing.
  • les informations fournies par les candidats sur leur propre situation financière, sous la forme de leurs cotes de crédit, de leur faillite, de leurs économies, de leurs finances et d’autres données pour démarrer le processus de demande de prêt. À des fins d’examen du crédit, les agents hypothécaires peuvent être tenus de déterminer la solvabilité d’un demandeur en divulguant les informations financières susmentionnées à une agence d’évaluation du crédit indépendante ou à une autre source.
  • Les dossiers comprennent également 8 douze noms d’employés, des adresses e-mail et des notes internes sur un prêt ou un client potentiel, indiquant si un demandeur est solvable ou non.

On ne sait pas depuis combien de temps la base de données non protégée est ouverte sur Internet.

Published by monctondjs.com

Leave a Reply

Your email address will not be published. Required fields are marked *