Comment un cabinet d’avocats international renommé peut-il laisser fuiter des données sensibles de ses clients pendant plus de six mois ? Proskauer Rose, dont le siège est à New York, a subi une faille de sécurité qui a exposé des données confidentielles sur un serveur cloud non sécurisé de Microsoft Azure. Quel type de données a été exposé exactement ?
Selon une source proche de l’affaire citée par TechCrunch, il s’agirait de données liées aux activités de fusions et acquisitions du cabinet. Des documents financiers et juridiques confidentiels, des contrats, des accords de non-divulgation, des transactions financières et des dossiers de fusions et acquisitions ont été accessibles pendant cette période.
TechCrunch a obtenu une copie partielle de l’ensemble de données exposées, qui comptait environ 184 000 fichiers au total. Ces fichiers étaient accessibles depuis un navigateur web par quiconque savait où chercher.
Des données sensibles de clients du cabinet Proskauer Rose ont été exposées pendant plus de six mois.
Les détails du serveur cloud ont été découverts par GrayHatWarfare, une base de données consultable qui indexe le stockage et les fichiers cloud accessibles au public. Les fichiers auraient été laissés publics pendant au moins six mois.
Proskauer a résolu la fuite il y a environ deux semaines, mais n’a pas encore informé ses clients, parmi lesquels figurent la Major League Baseball et Morgan Stanley.
Le cabinet d’avocats n’a pas souhaité répondre aux questions concernant la quantité et la nature des données exposées, mais n’a pas contesté les allégations. On ne sait pas encore comment les données ont été exposées, bien qu’il ne soit pas rare que ce soit dû à des erreurs humaines.
Dans un communiqué, Proskauer a déclaré avoir récemment découvert qu’un prestataire externe, chargé de créer un portail d’information sur une plateforme de stockage cloud tierce, n’avait pas correctement sécurisé ce dernier. Néanmoins, ils n’ont pas révélé le nom de ce prestataire.
Le cabinet d’avocats a assuré être en train d’enquêter sur cette faille de sécurité et qu’il communiquerait rapidement avec toutes les parties concernées dès qu’il disposerait d’informations suffisantes pour le faire de manière responsable.
Source : Techcrunch
