L’Internet Society (ISOC), une organisation à but non lucratif dédiée à maintenir l’ouverture et la sécurité d’Internet, a imputé l’exposition par inadvertance des données personnelles de ses plus de 80 000 membres à un fournisseur tiers.

Les données, qui étaient accessibles au public sur un référentiel cloud Microsoft Azure non protégé, comprenaient des millions de fichiers JSON comprenant, entre autres, des noms complets, des adresses e-mail et postales et des informations de connexion.

« Sur la base de la taille et de la nature du référentiel exposé, nous pouvons supposer que toutes les informations de connexion et adjacentes des membres ont été ouvertes à l’Internet public pendant une période indéfinie », a déclaré la société de cybersécurité Clario dans un communiqué. article de blog aujourd’hui (15 février).

Aidés par le chercheur indépendant Bob Diachenko, les chercheurs en sécurité de Clario ont fait la découverte et alerté l’Internet Society le 8 décembre 2021. Le référentiel a été sécurisé une semaine plus tard, le 15 décembre.

Diachenko a dit La gorgée quotidienne que les données ont probablement été exposées pendant au moins un mois.

Mauvaise configuration

« Nous prenons la sécurité des données au sérieux et avons lancé une enquête dès que nous avons pris connaissance du problème », a déclaré l’ISOC. La gorgée quotidienne cette semaine. «De plus, des experts en criminalistique tiers ont été retenus pour aider.

« Nous avons découvert que notre système de gestion d’association avait été configuré de manière incorrecte par un fournisseur. Cela a rendu les données des membres accessibles au public, mais nous avons maintenant résolu ce problème.

L’organisation à but non lucratif a ajouté: « Heureusement, nous n’avons vu aucun cas d’accès malveillant aux données des membres en conséquence, et nous continuons à surveiller. »

« Rendre Internet plus fort »

Clario a déclaré que si les cybercriminels avaient accédé aux données, cela aurait pu rendre les victimes plus vulnérables aux attaques de phishing, au vol d’identité et à la fraude.

« La violation suggère que l’ISOC doit faire plus pour améliorer son infrastructure de sécurité et adhérer aux meilleures pratiques qu’elle préconise pour rendre Internet plus fort et plus sûr », ont déclaré les chercheurs.

Fondée en 1992, ISOC, basée en Virginie, compte des chapitres dans le monde entier et plaide pour un Internet résilient, ouvert et – avec 37% de la population mondiale ayant jamais utilisé internet – accessible à tous.

Clario a conseillé aux membres potentiellement concernés de changer leurs mots de passe ISOC en ligne, de se méfier des e-mails ou des liens suspects.

Il s’agit du deuxième incident que Clario a révélé ce mois-ci dans lequel un fournisseur tiers a été accusé d’avoir exposé des données personnelles sensibles dans un référentiel de blob Microsoft Azure non protégé.

Tel que rapporté par La gorgée quotidiennela précédente violation de données concernait des informations appartenant à des étudiants et détenues par le British Council, qui propose des cours d’anglais dans le monde entier.