lundi 29 mai 2023

Les données de clients Peugeot exposées en raison d'une erreur de configuration



Peugeot, le constructeur automobile français, a subi une importante fuite de données affectant ses clients au Pérou.

L'incident a exposé des informations sensibles via un fichier d'environnement configuré de manière non sécurisée (.env) sur le site Web péruvien de Peugeot. 

Dans cette affaire, c'est le travail diligent de l'équipe de recherche de Cybernews qui a conduit à la découverte du fichier exposé, qui contenait plusieurs informations critiques, notamment :

  • Identifiant de ressource uniforme (URI) complet de la base de données MySQL : cette séquence unique de caractères identifie la ressource de la base de données. Avec ces informations, n'importe qui peut accéder à l'ensemble de la base de données clients de l'entreprise.

  • Nom d'utilisateur et mot de passe de la base de données : les informations d'identification requises pour accéder à la base de données MySQL ont été exposées, permettant aux pirates d'accéder, d'exfiltrer ou de modifier les informations sensibles des clients.

  • Phrase secrète JSON Web Token (JWT) et emplacements des clés privées et publiques: JWT est une méthode d'authentification populaire pour les applications Web. Avec les mots de passe et les clés exposées, les attaquants pourraient falsifier des jetons et se faire passer pour des utilisateurs ou accéder à des parties restreintes du site Web.

  • Un lien vers le référentiel git du site : ce lien permettrait à un attaquant d'accéder au code source du site Web, exposant potentiellement d'autres vulnérabilités ou des informations sensibles.

  • Secret d'application Symfony : Le secret d'application, un composant essentiel du framework PHP Symfony, est utilisé pour chiffrer et signer les données. L'exposition de ce secret pourrait donner aux attaquants la possibilité de déchiffrer des données sensibles ou de falsifier des signatures valides, compromettant davantage la sécurité de l'application.

Cette violation de données présente une menace considérable pour la clientèle de Peugeot au Pérou, car elle dévoile leurs données privées, telles que les noms, adresses et coordonnées, les rendant accessibles aux cybercriminels. Les personnes concernées peuvent être confrontées à des risques tels que le vol d'identité, les stratagèmes d'hameçonnage ou même les escroqueries monétaires.

Posted by on

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)