Le sujet n’était pas revenu depuis longtemps, mais rassurez-vous, le compteur des « jours sans base de données d’entreprise » piratée peut être remis à zéro : comme le rapporte Cybernews, une nouvelle fuite comptant pas moins de 40 millions d’adresses e-mail et diverses autres données a été découverte.
C’est la société Alinto qui a littéralement laissé la porte grande ouverte, mettant à l’air libre sur un serveur les adresses e-mails, détails de localisation et relais IP de nombreuses entreprises et même services de l’État. Sont touchés entre autres Renault, L’Oréal, DHL, Hermès, mais aussi des ambassades et autres entités importantes du gouvernement. Au moins 14 000 adresses uniques en « .gouv » seraient concernées.
En plus des adresses e-mail, la fuite compte aussi une bonne partie du trafic associé à chaque adresse avec destinataire et horodatage, permettant ainsi de tisser les liens entre chaque acteur en plus de pouvoir utiliser les adresses en elles-mêmes pour des campagnes de phishing élaborées. Petit bonus, cette base de données permet grâce aux e-mails professionnels de récupérer les noms de tous les employés des entreprises concernées, du simple petit travailleur jusqu’au grand patron. La même chose vaut bien entendu pour les services étatiques contenus dans cette fuite.
Le contenu des e-mails est heureusement sauf, celui-ci n’étant pas hébergé chez le prestataire. Cependant, c’est une grosse brèche de sécurité pour une entreprise indiquant manipuler 100 millions de courriers électroniques chaque jour pour des gros comptes et des administrations.
Cybernews indique avoir découvert la fuite le 24 février, l’avoir communiquée à Alinto le 25, et l’entreprise l’a comblée le 26. À défaut d’avoir fait les choses correctement dès le départ, le prestataire a au moins réagi prestement.
