Une liste de personnes physiques et morales à risque appartenant à Dow Jones a été exposée après qu’une société ayant accès à la base de données l’ait laissée sur un serveur sans mot de passe.
Bob Diachenko, un chercheur indépendant en sécurité, a découvert que la base de données d’Amazon Web Services, hébergée par Elasticsearch, exposait plus de 2,4 millions d’enregistrements de personnes ou d’entreprises.
A lire aussi : Les avantages de l'écran tactile sur un ordinateur tout-en-un 27 pouces
Les données, depuis sécurisées, constituent la base de données Watchlist du géant financier, que les entreprises utilisent dans le cadre de leurs efforts en matière de risque et de conformité. D’autres sociétés financières, comme Thomson Reuters, ont leurs propres bases de données de clients à haut risque, de personnes politiquement exposées et de terroristes – mais elles ont également été exposées au fil des ans par des failles de sécurité distinctes.
Une brochure datée de 2010 a facturé la Dow Jones Watchlist comme permettant aux clients ” d’identifier facilement et précisément les clients à haut risque avec des profils détaillés et à jour ” sur toute personne ou entreprise dans la base de données. À l’époque, la base de données contenait 650 000 entrées, selon la brochure.
A lire également : Comment Amazon a pris 50% du marché du commerce électronique et ce que cela signifie pour le reste d'entre nous
Cela inclut les politiciens actuels et anciens, les individus ou les entreprises faisant l’objet de sanctions ou condamnés pour des crimes financiers très médiatisés tels que la fraude, ou toute personne ayant des liens avec le terrorisme. Bon nombre de ceux qui figurent sur la liste comprennent des ” personnes ayant un intérêt particulier “, d’après les enregistrements de la base de données exposée que TechCrunch a vus.
M. Diachenko, qui a rédigé ses conclusions, a déclaré que la base de données était “indexée, balisée et consultable”.
Extrait d’une brochure datée de 2010 de la Watchlist de Dow Jones, qui contenait à l’époque 650 000 noms de personnes et d’entités. La base de données exposée contenait 2,4 millions d’enregistrements. (Capture d’écran : TechCrunch)
De nombreuses institutions financières et agences gouvernementales utilisent la base de données pour approuver ou refuser un financement, ou même dans le cadre de la fermeture de comptes bancaires, a déjà indiqué la BBC. D’autres ont signalé qu’il faut parfois peu ou pas de preuves pour faire inscrire quelqu’un sur les listes de surveillance.
Toutes les données sont recueillies auprès de sources publiques, comme les articles de journaux et les documents gouvernementaux. Bon nombre des documents individuels proviennent des archives de nouvelles Factiva de Dow Jones, qui ingère des données provenant de nombreuses sources d’information, dont le Wall Street Journal, propriété de Dow Jones.
Mais l’existence même d’un nom, ou la raison pour laquelle un nom existe dans la base de données, est propriétaire et étroitement surveillée.
Les documents que nous avons vus varient énormément, mais peuvent inclure les noms, les adresses, les villes et leur emplacement, s’ils sont décédés ou non et, dans certains cas, des photographies. Diachenko a également trouvé les dates de naissance et les sexes. Chaque profil comportait des notes détaillées recueillies auprès de Factiva et d’autres sources.
L’un des noms trouvés au hasard était Badruddin Haqqani, un commandant du réseau d’insurgés de la guérilla Haqqani en Afghanistan, affilié aux talibans. En 2012, le Trésor américain a imposé des sanctions à Haqqani et à d’autres pour leur participation au financement du terrorisme. Il a été tué lors d’une attaque de drone américaine au Pakistan quelques mois plus tard.
Le dossier de la base de données sur Haqqani, qui a été classé dans les catégories “liste des sanctions” et “terrorisme”, comprenait (et condensé pour plus de clarté) :
DOW JONES NOTES :
Tué dans la zone tribale du Nord Waziristan, au Pakistan, le 21 août 2012.
OFFICE OF FOREIGN ASSETS CONTROL (OFAC) NOTES :
Couleur des yeux Marron ; Couleur des cheveux Marron ; Langue maternelle de l’individu Pachto ; Commandant opérationnel du réseau Haqqani
EU NOTES :
Informations complémentaires tirées du résumé narratif des motifs de l’inscription sur la liste fourni par le Comité des sanctions :
Badruddin Haqqani est le commandant opérationnel du Réseau Haqqani, un groupe de militants affiliés aux talibans qui opère à partir de l’Agence du Nord-Waziristan dans les zones tribales sous administration fédérale du Pakistan. Le Réseau Haqqani a été à l’avant-garde des activités des insurgés en Afghanistan, responsables de nombreuses attaques très médiatisées. La direction du Réseau Haqqani est assurée par les trois fils aînés de son fondateur Jalaluddin Haqqani, qui a rejoint le régime taliban du mollah Mohammed Omar au milieu des années 90. Badruddin est le fils de Jalaluddin et le frère de Nasiruddin Haqqani et Sirajuddin Haqqani, ainsi que le neveu de Khalil Ahmed Haqqani.
Badruddin aide à diriger les insurgés associés aux talibans et les combattants étrangers dans les attaques contre des cibles dans le sud-est de l’Afghanistan. Badruddin est assis sur la choura Miram Shah des talibans, qui a autorité sur les activités du réseau Haqqani.
Badruddin serait également responsable des enlèvements pour le Réseau Haqqani. Il a été responsable de l’enlèvement de nombreux Afghans et ressortissants étrangers dans la région frontalière entre l’Afghanistan et le Pakistan.
UN NOTES :
Autres informations : Commandant opérationnel du réseau Haqqani et membre de la shura talibane à Miram Shah. A aidé à mener des attaques contre des cibles dans le sud-est de l’Afghanistan. Fils de Jalaluddin Haqqani (TI.H.40.01.). Frère de Sirajuddin Jallaloudine Haqqani (TI.H.144.07.) et Nasiruddin Haqqani (TI.H.146.10.). Neveu de Khalil Ahmed Haqqani (TI.H.150.11.). Il serait décédé à la fin août 2012.
FEDERAL FINANCIAL MONITORING SERVICES NOTES:
Entités et individus contre lesquels il existe des preuves d’implication dans le terrorisme.
Sophie Bent, porte-parole de Dow Jones, a déclaré : “Cet ensemble de données fait partie de notre produit d’alimentation pour le risque et la conformité, qui est entièrement dérivé de sources publiques. Pour l’instant, notre examen laisse entendre que cette situation résulte de la mauvaise configuration d’un serveur SSFE par un tiers autorisé, et que les données ne sont plus disponibles.”
Nous avons posé des questions précises à Dow Jones, par exemple qui était la source de la fuite de données et si l’exposition serait signalée aux organismes de réglementation américains et aux autorités européennes de protection des données, mais la société n’a pas voulu faire de commentaires sur le dossier.
Il y a deux ans, Dow Jones a admis qu’une erreur similaire de configuration du stockage en nuage avait révélé les noms et les coordonnées de 2,2 millions de clients, dont des abonnés du Wall Street Journal. L’entreprise a décrit l’événement comme une “erreur”.
Les fuites massives de données sur les prêts hypothécaires et les prêts s’aggravent à mesure que les documents originaux sont également exposés.
