Google Drive : les données de près d’un million d’utilisateurs dévoilées par erreur

Une simple erreur dans la configuration d'un service de stockage Google Drive a conduit à l'exposition potentielle des données personnelles de près d'un million de personnes par un développeur de jeux japonais.

Ateam, une société qui crée des jeux mobiles et du contenu, tels que War of Legions, Dark Summoner et Hatsune Miku Tap Wonder, a annoncé au début du mois qu'elle avait découvert un problème de sécurité avec son service Google Drive le 21 novembre 2023.

La société a déclaré qu'elle avait accidentellement réglé une instance de Google Drive sur “Toute personne sur Internet avec le lien peut consulter les fichiers” depuis mars 2017, ce qui signifie que toute personne ayant l'URL exacte du service pouvait accéder aux données qui y étaient stockées.

Lire également – Google Drive : vos fichiers ont disparu ? Pas de panique, il y a une solution à ça

Les données de près d’un million de personnes étaient consultables par tous

Le service Google Drive contenait 1 369 fichiers contenant des informations personnelles de diverses personnes ayant une relation quelconque avec Ateam, telles que des clients, des partenaires commerciaux, des employés, des stagiaires et des candidats à l'emploi. Selon Ateam, 935 779 personnes ont vu leurs données exposées par cette erreur, dont 98,9 % de clients. Pour Ateam Entertainment, une filiale d'Ateam, 735 710 personnes ont été affectées.

Le type de données exposées varie en fonction de l'individu, mais il peut s'agir des noms et prénoms, des adresses électroniques, des numéros de téléphone, des numéros de gestion des clients ou encore des numéros d'identification des appareils utilisés. Ateam a déclaré n'avoir trouvé aucune preuve que des acteurs malveillants ont volé ou utilisé les données exposées, mais a conseillé aux utilisateurs de faire attention aux messages suspects ou non sollicités qu'ils pourraient recevoir.

Cet incident rappelle de nouveau la nécessité pour les entreprises de sécuriser correctement leurs services dans le cloud, car une simple erreur de configuration peut entraîner l'exposition de données sensibles.

Ce n'est pas la première fois qu'une mauvaise configuration d'un service dans le cloud conduit à l'exposition de données. En fait, il s'agit d'un phénomène très courant, car de nombreux pirates et chercheurs scrutent Internet à la recherche de ces données. Si les chercheurs signalent les données exposées aux propriétaires ou aux autorités, certains pirates exploitent les données à des fins malveillantes, telles que l'extorsion, l'usurpation d'identité, la fraude ou la vente à d'autres pirates.