par PeopleGrove a confirmé jeudi qu’il enquêtait après qu’une faille de sécurité a exposé les informations personnelles des utilisateurs en ligne.
La société, anciennement CampusKudos, qui fournit et héberge une plateforme sociale pour les établissements d’enseignement supérieur et les réseaux d’anciens élèves, a laissé le serveur hébergeant une base de données interne exposée à Internet sans mot de passe, permettant à quiconque d’accéder aux données en utilisant uniquement un navigateur Web et en connaissant son Adresse IP.
La base de données contenait des gigaoctets d’informations personnelles, notamment des adresses e-mail, des numéros de téléphone, des adresses, des détails sur les réalisations et les résultats universitaires, ainsi que des CV contenant des antécédents professionnels détaillés et des détails sur l’emploi. Les enregistrements contenaient également des liens vers la photo de profil de l’utilisateur.
Aucune des données exposées n’a été cryptée.
Chercheur en sécurité cloud CloudDefense Anurag Sen a découvert la base de données jeudi et a contacté TechCrunch afin que nous puissions informer PeopleGrove. Le serveur est devenu inaccessible peu de temps après.
“La base de données identifiée est une base de données pour nos serveurs de développement”, a déclaré le directeur de la technologie de PeopleGrove, Reilly Davis, lorsqu’il a été contacté par e-mail. “Je sais que la plupart des données de ces bases de données sont des données de test hors production, nous étudions donc exactement quelles données y sont contenues et comment les données de production ont été incluses.”
Davis a déclaré qu’une enquête était en cours mais n’a pas précisé pourquoi la base de données interne était devenue accessible depuis Internet. On ne sait pas non plus pourquoi la base de données de test apparente contenait des informations sur de vraies personnes.
TechCrunch a vérifié une partie des données exposées en faisant correspondre les informations de contact à l’aide de dossiers publics, de profils de médias sociaux et d’autres réseaux sociaux de carrière comme LinkedIn. Un utilisateur, dont le profil indiquait qu’il servait en tant qu’officier du renseignement américain, avait des détails sur son ancienne habilitation de sécurité top secret exposés dans son dossier d’utilisateur, ainsi que son adresse personnelle, son adresse e-mail personnelle et son numéro de téléphone. Un autre utilisateur, dont les informations ont été trouvées dans les données mais a demandé à ne pas être nommé pour cette histoire, a confirmé à TechCrunch que leurs informations exposées étaient exactes mais n’a pas pu expliquer comment elles avaient été collectées, ni par qui.
Au moment de sa découverte, la base de données contenait plus de 25 millions de journaux. Le site Web de PeopleGrove indique qu’il compte plus de 20 millions d’utilisateurs.
PeopleGrove CTO Davis a déclaré que la société informerait les utilisateurs qui “si nous découvrons que leurs données sensibles ont été exposées”. Davis a déclaré que la société avait mis en place une connexion dans son environnement Google Cloud pour déterminer quelles données avaient pu être consultées ou exfiltrées.
Le directeur général de PeopleGrove, Adam Saven, qui a été mis en copie de l’e-mail, n’a fait aucun commentaire.
