- Alinto a laissé un cluster Elasticsearch exposé en ligne
- 40 millions d’enregistrements SMTP divulgués, dont 4,5 millions d’adresses email uniques
- Des données de grandes entreprises et d’organismes publics français potentiellement exposées
Un fournisseur français de solutions email a laissé un cluster Elasticsearch accessible sur Internet, exposant les adresses email et des données de localisation de millions de personnes, ainsi que celles de grandes entreprises et d’entités gouvernementales, ont averti des experts.
Le cluster contenait 40 millions d’enregistrements liés au protocole Simple Mail Transfer Protocol (SMTP), accessibles à toute personne disposant d’une connexion Internet, d’un navigateur et sachant où chercher. Le serveur hébergeait également un serveur SMTP sous le domaine Cleanmail.eu, qui correspond à la solution de relais de sécurité email d’Alinto.
Des chercheurs en cybersécurité de Cybernews ont découvert la base de données ouverte et ont alerté les responsables, qui l’ont ensuite sécurisée.
Risque potentiel
Dans son rapport, l’équipe de Cybernews indique avoir identifié un cluster Elasticsearch appartenant à Alinto, une entreprise française qui propose « des solutions pour assurer la continuité des communications par email, protéger les infrastructures de messagerie contre les cyberattaques et garantir la délivrabilité d’emails transactionnels à fort volume ».
Le serveur hébergeait également un serveur SMTP sous le domaine Cleanmail.eu, la solution de relais de sécurité email d’Alinto.
Les enregistrements contenaient les informations suivantes :
Adresse email de l’expéditeur,
Adresse email du destinataire,
Données de localisation,
Adresses IP de relais
Parmi les organisations concernées figurent L’Oréal, Renault et DHL, ainsi que « de nombreux organismes publics français », notamment des administrations, des municipalités et des ambassades françaises à travers le monde. Au moins 14 000 adresses email gouvernementales uniques auraient été exposées.
Si la perte d’adresses email peut sembler limitée en termes d’impact, Cybernews explique pourquoi cette fuite présente des risques potentiels :
« Disposer d’informations sur les adresses qui communiquent entre elles et sur les horaires de ces échanges révèle des données comportementales, susceptibles de faciliter d’autres attaques, par exemple en usurpant l’identité d’une personne avec laquelle vous échangez régulièrement, ou en envoyant des messages au moment attendu », précise l’équipe de Cybernews.
« Cela peut également permettre de construire des cartographies relationnelles, utilisées pour déduire certaines informations sensibles d’entreprise, comme le lancement de nouveaux produits. »
Sur les 40 millions d’enregistrements, au moins 4,5 millions correspondent à des adresses email uniques, susceptibles d’être davantage ciblées par du spam à l’avenir. Il n’est pas établi si des acteurs malveillants ont découvert la base de données avant les chercheurs.