Le spécialiste de la sécurité UpGuard a découvert que des informations sensibles sur 123 millions de foyers américains se sont retrouvées en libre-service en ligne, à cause de la société Alteryx.
Alteryx, une entreprise d’analyse de données, a acheté des informations de 2013 à Experian, une société de notation de crédit qu’elle a jointe aux données publiquement disponibles du recensement américain.
Cet ensemble de données contient des informations sensibles, permettant d’identifier des personnes, comme les données de contact, les adresses, l’historique financier, les hypothèques, et des analyses détaillées de comportement d’achats.
Comme Alteryx a mal configuré la sécurité de son stockage dans le nuage d’Amazon Web Services, toute personne identifiée, c’est-à-dire toute personne avec un compte AWS, pouvait accéder à ces données.
N’importe qui peut, à l’aide d’une adresse de courriel, ouvrir gratuitement un compte AWS.
Une négligence d’autant plus lamentable que, par défaut, AWS limite l’accès aux données des buckets S3 aux personnes autorisées. Mais bien souvent, comme c’est le cas ici, les entreprises prennent un raccourci en autorisant toute personne identifiée par AWS à accéder aux données.
En 2013, les États-Unis comptaient 122,46 millions de foyers. Virtuellement tous les foyers des États-Unis sont donc victimes de cette négligence.
Comme le décrit Alteryx dans sa brochure :*
« ConsumerViewSM est la ressource la plus importante et la plus complète pour les campagnes de marketing traditionnelles et numériques. Avec des milliers d’attributs sur plus de 300 millions consommateurs et 126 millions ménages, ConsumerView Data fournit une compréhension plus profonde de vos clients, ce qui ouvre des perspectives d’action à travers tous les canaux… »
Pour chaque foyer, 248 champs d’informations sensibles sont disponibles.
Dean Stoecker, président et CEO d’Alteryx, n’a même pas présenté ses excuses, se contentant d’affirmer que l’entreprise prenait la sécurité très au sérieux, et qu’elle avait pris des mesures pour que cela n’arrive plus.
Cette exposition, comme tant d’autres fuites de données, illustre le danger de ces méga bases de données, avec des informations si sensibles, car on ne peut compter ni sur les organismes publics, ni sur les entreprises, pour les protéger correctement.
Un risque encore amplifié par le stockage de données dans des services d’informatique en nuage, et par la facilité et le coût plus abordable que jamais du minage de ces données par intelligence artificielle.
* Traduction: Le Diligent