Dans l’IT comme dans la vie, il est toujours important de bien fermer sa porte d’entrée. Et ainsi se prémunir des intrusions. Dans la série des bases de données mal configurée, c’est au tour de CenturyLink d’être exposé. Vendredi dernier, le chercheur en cybersécurité Bob Diachenko et d’autre de Comparitech ont révélé qu’une des bases MongoDG du fournisseur d’accès à Internet (FAI) avait été mal configurée et accessible publiquement.
Environ 2,8 millions de points de données de clients étaient enregistrés dans cette base. Dont leurs noms, adresse email, numéro de téléphone, adresses physiques, ainsi que leurs identifiants CenturyLink. Aucunes données bancaires n’étaient présentes dans cette base, les informations exposées ne sont donc pas considérées comme sensibles.
Informé de l’incident le 15 septembre, CenturyLink a résolu le problème deux jours plus tard. Pour l’instant, on ne sait pas si la base de données a été consultée par des personnes extérieures. Mais d’après les chercheurs, elle a été indexée pour la première fois par le moteur de recherche Shodan le 17 novembre 2018. Elle a donc été accessible à n’importe qui pendant dix mois.