2,7 milliards de données personnelles exposées lors dune violation massive de données

Les organisations et les entreprises se concentrent de plus en plus sur la garantie de la sécurité numérique en examinant régulièrement leurs systèmes et en détectant précocement les vulnérabilités qui pourraient les exposer à des risques de sécurité. Mais malgré ces efforts, les attaques de phishing restent courantes et le risque de fuite de données est toujours présent.

C'est le cas de Mars Hydro, une entreprise chinoise spécialisée dans les équipements de culture indoor et hydroponique, qui a subi une fuite massive de données. On estime que jusqu’à 2,7 milliards d’enregistrements provenant d’une base de données non protégée de cette société ont été divulgués. L'incident a exposé une énorme quantité de données clients de l'entreprise, y compris des informations sensibles telles que les noms de réseaux Wi-Fi, les mots de passe, les adresses IP, les numéros d'identification des appareils, les adresses e-mail et même le type de téléphone utilisé par l'utilisateur (iOS ou Android).

Plus précisément, comme la base de données de Mars Hydro n'était pas protégée par un mot de passe, une grande quantité d'informations a été divulguée, notamment les noms et mots de passe des réseaux Wi-Fi (SSID), les adresses IP, les adresses e-mail et les détails sur les smartphones utilisés. Non seulement cela entraîne un risque d’accès non autorisé aux appareils et aux réseaux, mais cela crée également des opportunités pour les cybercriminels de suivre les communications et de cibler les utilisateurs via des informations de contact compromises. Les fuites de données peuvent même conduire à des attaques de type « man-in-the-middle », où le trafic entre l’utilisateur et l’appareil peut être manipulé.

De toutes les menaces, l’attaque de l’homme du milieu est la plus dangereuse car les deux parties impliquées dans la communication ne seront absolument pas conscientes de l’intervention de l’attaquant. Cela peut même conduire à une usurpation d’identité, car les attaquants peuvent accéder à des informations de connexion sensibles, à des informations financières et même à des données d’entreprise par le biais d’écoutes clandestines.

Mars Hydro utilise des smartphones pour contrôler certains de ses produits hydroponiques, c'est pourquoi la société propose une application mobile sur l'App Store et le Google Play Store. L'application prend en charge plusieurs langues, notamment l'anglais, le français, le chinois et l'allemand. Bien que la politique de confidentialité de l'application affirme ne pas collecter de données utilisateur, il est possible que les appareils IoT (Internet des objets) aient transmis des informations lorsqu'ils étaient connectés au réseau de l'utilisateur, entraînant des incidents de fuite de données.

Bien qu’il existe actuellement peu d’informations sur la question de savoir si les données divulguées ont été utilisées à des fins malveillantes, le risque est toujours présent. Les entreprises doivent donc renforcer la sécurité des bases de données et sensibiliser aux vulnérabilités de leurs systèmes.

Il est conseillé aux utilisateurs des produits Mars Hydro de modifier immédiatement leurs mots de passe Wi-Fi, de mettre à jour les logiciels sur les appareils connectés à Internet et de se méfier des e-mails ou messages suspects.