Le fournisseur de matériel open source Adafruit a présenté ses excuses après avoir exposé par inadvertance des données clients sensibles via un référentiel GitHub.
Le problème est survenu parce que des données client valides, plutôt que des informations factices, ont été utilisées pour constituer un ensemble de données de formation qui a été publié sur un référentiel public.
Les informations personnelles de certains utilisateurs d’Adafruit – y compris les noms, les adresses e-mail, les adresses physiques et les détails de la commande – ont été exposées à la suite de la erreur.
Aucun mot de passe utilisateur ou information financière telle que les cartes de crédit n’apparaissait dans l’ensemble de données qui date de 2019, selon un déclaration d’Adafruit.
CONSEILLÉ La vulnérabilité SQLi dans la plate-forme d’apprentissage en ligne Moodle pourrait permettre la prise de contrôle de la base de données
« La divulgation par inadvertance impliquait qu’un ensemble de données d’audit utilisé pour la formation des employés soit devenu public, sur un référentiel GitHub associé au compte d’un ancien employé inactif qui apprenait l’analyse des données », a expliqué le fournisseur.
« Dans les 15 minutes suivant la notification de la divulgation par inadvertance, Adafruit a travaillé avec l’ancien employé, a supprimé le référentiel GitHub concerné et l’équipe d’Adafruit a commencé le processus médico-légal pour déterminer quoi et s’il y avait eu un accès et quel type de données était impliqué. »
Adafruit a ajouté: « L’ensemble de données a été rendu public par inadvertance lors d’un transfert de procédure de sortie d’employé. »
Il n’y a aucune preuve à ce jour que l’une des données ait été utilisée à mauvais escient.
Points d’apprentissage
Bien qu’Adafruit ait tenté de faire preuve de transparence en signalant le problème, le fournisseur a tout de même fait l’objet de critiques (ici, ici et ici) sur la question sur au moins deux points.
Premièrement, l’entreprise aurait dû savoir qu’il ne fallait pas utiliser de données réelles pour former des travailleurs inexpérimentés ou même plus expérimentés à l’analyse de données. Il est facile d’être sage rétrospectivement, mais des erreurs seraient toujours possibles dans un tel scénario.
Adafruit a tacitement reconnu les critiques allant dans ce sens dans sa déclaration en déclarant qu’il « mettait en place davantage de protocoles et de contrôles d’accès pour éviter toute exposition future éventuelle des données et limitait l’accès à la formation des employés ».
Le fournisseur a publié sa déclaration sur l’incident vendredi (4 mars) sans en informer au préalable les utilisateurs concernés. En réponse aux critiques à ce sujet, Adafruit a mis à jour sa déclaration lundi pour indiquer qu’elle avait commencé à informer les parties concernées.