Serveur avec données de cabinet fiscal Rockerbox exposées : 286 Go d'enregistrements

Une fuite de données a été révélée chez Rockerbox, un cabinet de conseil en crédit d'impôt basé au Texas, aux États-Unis. Le chercheur en cybersécurité Jeremiah Fowler a récemment découvert une base de données non protégée par mot de passe, révélant une faille de sécurité importante. Les conclusions de cette découverte ont été rapportées par vpnMentor et partagées avec HackRead.com.

Rockerbox, identifiée comme une société de conseil en crédit d'impôt, aide les entreprises à travers les États-Unis à identifier et à gérer les incitations fiscales axées sur les employeurs grâce à des programmes tels que le crédit d'impôt pour les opportunités de travail (WOTC), le crédit d'impôt pour la rétention des employés (ERTC), les crédits R&D et les crédits Empowerment Zone.

L'exposition a impliqué un nombre alarmant de 245 949 enregistrements, totalisant 286,9 Go de données. Cet ensemble de données considérable comprenait diverses formes d'informations personnelles identifiables (IPI), notamment les noms complets, les dates de naissance (DOB), les numéros de sécurité sociale (SSN) et les adresses physiques.

Pour votre information, les PII sont des informations qui peuvent identifier un individu, directement ou indirectement, tandis que le SSN est un identifiant unique à neuf chiffres utilisé pour suivre les revenus et à diverses fins gouvernementales aux États-Unis.

Selon le rapport de Fowler, les dossiers exposés contenaient également des documents d'identification sensibles tels que des permis de conduire et des formulaires DD214, qui sont des certificats de libération ou de décharge du service actif délivrés par le ministère de la Défense des États-Unis, servant de documentation officielle du service militaire d'un vétéran.

De plus, un large éventail de documents relatifs à l'emploi et aux impôts ont été compromis. Parmi ceux-ci figuraient des demandes de crédits d'impôt, ainsi que des lettres officielles d'acceptation ou de refus, contenant souvent des informations financières et personnelles complexes. Si l'accès à certains dossiers a été refusé, de nombreux documents étaient facilement accessibles à toute personne disposant d'un accès à Internet.

Même certains fichiers PDF protégés par mot de passe ont vu leurs noms exposés, révélant des informations personnelles telles que les noms de l'employeur et du candidat. Fowler a souligné le risque théorique que les parties numériques de ces noms de fichiers contiennent des mots de passe, déconseillant ainsi l'intégration de telles données.

Rockerbox, connu pour son soutien aux entreprises américaines grâce à des incitations fiscales dans des secteurs tels que la restauration et l'hôtellerie, la santé, l'industrie manufacturière, la transformation alimentaire et les métiers spécialisés, fait désormais l'objet d'une surveillance accrue quant à la gestion de ses données. Cette exposition massive crée un potentiel important d' attaques ciblées par hameçonnage , d'usurpation d'identité et de fraude financière , car des acteurs malveillants pourraient exploiter ce vaste gisement d'informations personnelles et financières à des fins illicites.

Fowler a immédiatement informé Rockerbox, et la base de données a été sécurisée et interdite d'accès au public quelques jours plus tard. Cependant, aucune réponse à sa notification de divulgation responsable n'a été reçue. Par ailleurs, on ignore si la base de données était gérée directement par Rockerbox ou par un prestataire tiers, combien de temps elle a été exposée avant sa découverte, ou si d'autres parties non autorisées y ont eu accès.

« Pour les entreprises et organisations qui collectent et stockent des données personnelles potentiellement sensibles dans des référentiels cloud, il est important de mettre en œuvre des mesures de sécurité appropriées pour protéger ces informations. Cela commence par des contrôles d'accès et la limitation des personnes (internes et externes à l'organisation) autorisées à consulter et à manipuler les informations », a conclu Fowler.