« L’enquête a mis en lumière les différentes étapes de l’attaque. Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français. »
« La formation restreinte de la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place.
Elle a notamment souligné que :
- la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
- elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
- pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP. »