Volkswagen america Data Leak 2021-06-11
2021-06-11 - Volkswagen America Discloses Data Breach Impacting 3.3 Million
Mise en contexte :
https://www.securityweek.com/volkswagen-america-discloses-data-breach-impacting-33-million
Mise en garde : Subtilité dans le langage de gestion de crise
Dans la majorité des cas lorsque l’excuse est :
- Les données étaient accessibles sans protection sur les infrastructures d’un de nos fournisseurs.
Il faut traduire par :
- Les données qui étaient sous notre responsabilité, sécurisées et surveillées par nos équipes étaient malheureusement accessibles sans protection sur un de nos nombreux bucket S3 public. Malgré le fait que nos bucket S3 adhèrent tous sans exception à la méthodologie AGILE.
Certaines organisations sont tellement expertes en communication lors de gestion de crises que c’est rendu que la vue d’une carte cadeau st-hubert, ou même simplement le logo me fait penser à un certain gros tata.
2019-11-29 - Histoire de la maitrise d’un bucket S3 AWS par Volkswagen
En voyant les articles sur le data leak de Volkswagen, je me suis rappelé d’une notification que j’ai envoyée en novembre 2019 qui ressemble étrangement au type de problème mentionné dans les articles sur le Data Leak de vw. Après pas mal de recherche sans succès pour trouver une oreille attentive chez volkswagen, je me suis résigné à informer seulement le CERT-VW avec l’adresse email identifiée sur ce site https://www.first.org/members/teams/cert-vw
Notification envoyée le 29 novembre 2019 au CERT de volkswagen
Réponse obtenue du cert-vw
zZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZzZ
Correction du problème
- Date de correction du problème :
Inconnu
J’ai fait quelques vérifications, je crois jusqu’à deux mois plus tard et les informations étaient encore accessibles publiquement.
Je ne connais pas l’envergure complète concernant toutes les données exposées. J’ai cessé mes recherches à partir du moment que j’avais la confirmation qu’il y avait minimalement des informations sensibles.
Anecdote - comment les informations ont été identifiées
Une de mes recherches par mot clé était Desjardins. Dans les résultats de recherches, il y avait le nom du concessionnaire Desjardins Volkswagen à l’intérieur d’un fichier CSV, dans un répertoire endoflease avec le mot user dans le nom de fichier.
C’était suffisant pour attirer mon attention.