Un compartiment de stockage dans le cloud public sur cinq expose des données

par ·


  • FrançaisFrançais


    • Une nouvelle étude révèle que 21 % des buckets de stockage cloud accessibles au public contiennent des données PII sensibles.

    Dans un effort pour comprendre la prévalence des données sensibles exposées publiquement, Laminar Labs a scanné des buckets de stockage cloud publics et a été en mesure de détecter des informations personnelles identifiables (PII) dans 21 % de ces buckets, soit un sur cinq. Les informations découvertes comprenaient les adresses, les adresses e-mail, les numéros de téléphone, les numéros de permis de conduire, les noms, les détails du prêt, les cotes de crédit, etc.

    Notre hypothèse de départ était que ces données accessibles au public étaient des ensembles de données publics ou des fichiers publics, des éléments censés être en ligne. Mais ce que Laminar a appris, c’est que la majorité de ces données étaient en fait des données mal placées. Données qui ont été placées par erreur dans un bucket exposé publiquement où elles ont été accidentellement exposées. De plus, dans certains cas, le compartiment S3 peut avoir été mal configuré pour être public alors qu’il n’aurait pas dû l’être. Les deux sont d’excellents exemples de “données fantômes”. Données fantômes désigne toute donnée sensible qui n’est pas soumise au cadre de gestion centralisée des données d’une organisation et qui n’est pas visible par les équipes de protection des données. Par exemple, des instantanés qui ne sont plus pertinents, des sauvegardes oubliées, des données égarées, des fichiers journaux de données sensibles qui ne sont alors pas correctement chiffrés ou stockés, et bien d’autres exemples.

    Voici un résumé de certaines des données sensibles que Laminar a trouvées

    • Un fichier contenant les PII des personnes qui ont utilisé un service de chatbot tiers sur différents sites Web – y compris les noms, numéros de téléphone, e-mails – et les messages envoyés au bot (par exemple – les personnes demandant des allocations de chômage et plus)
    • Un fichier contenant les détails du prêt – nom, montant du prêt, pointage de crédit, taux d’intérêt et plus
    • Un rapport de participant pour une compétition sportive, y compris les PII (nom, adresse, code postal, e-mail et plus) et des informations médicales
    • Une liste d’invitations VIP comprenant les noms, les e-mails et les informations d’adresse
    • Un fichier avec les prénoms, les noms, les informations d’adresse ethereum et d’adresse bitcoin, et les adresses e-mail de carte de blocage.

    Les risques des données PII dans le cloud public : pourquoi vous devriez vous en soucier

    Étant donné que ces données contiennent des informations très sensibles telles que les détails des prêts, les adresses bitcoin et les conversations sur les allocations de chômage, Laminar pense que ces données ont le potentiel de mettre en danger les organisations auxquelles appartiennent les informations. Les organisations ne peuvent pas protéger correctement les données dont elles ignorent qu’elles sont exposées. Et dans le modèle de responsabilité partagée, la sécurisation de ces données relève de la responsabilité de l’organisation propriétaire des compartiments dans lesquels résident les données. Heureusement, il existe des moyens de découvrir et de traiter ce risque.

    Comment atténuer et protéger les PII dans le cloud :

    Découverte et surveillance des données PII

    La première chose à faire pour commencer à s’occuper du problème est de comprendre quelles sont les données sensibles exposées publiquement dans votre environnement. Cependant, faire cela dans le cloud n’est pas aussi simple que cela puisse paraître. Souvent, les compartiments S3 qui ne sont pas publics peuvent contenir des fichiers et des objets spécifiques qui sont publics, laissant les équipes de sécurité inconscientes des risques. D’autre part, de nombreux buckets sont censés être exposés publiquement, par exemple des sites Web hébergés, et des données fantômes invisibles peuvent être égarées dans ces buckets intentionnellement exposés. Ces fichiers égarés sont souvent difficiles à localiser parmi les nombreux fichiers légitimes hébergés dans ces compartiments.

    En d’autres termes, ce qu’il faut, c’est une vue centrée sur les données, et non centrée sur l’infrastructure. Un moyen de cataloguer toutes les données dans un environnement cloud, de déterminer quels fichiers et objets contiennent des informations sensibles et de s’assurer que ces objets ne sont pas accessibles au public sans entraver la disponibilité d’autres fichiers sécurisés.

    Contrôle d’accès aux données de tiers

    Une autre étape nécessaire consiste à s’assurer que les tiers qui ont besoin d’accéder à vos données n’ont accès qu’à ce qu’ils doivent, car la transmission de vos données à un tiers introduit une toute nouvelle couche de menaces de sécurité.

    laminarsecurity.com

    La poste Un compartiment de stockage dans le cloud public sur cinq expose des données est apparu en premier sur L’industrie aujourd’hui.

    Source

    Étiquettes :

    La Rédaction

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Copy code