Aura, une société américaine de protection des identités, a confirmé une violation de données affectant environ 900 000 dossiers, principalement concernant des informations de contact stockées dans un système marketing.
L’entreprise a indiqué que la majorité des données exposées concernent des noms et des adresses e-mail collectés via une plateforme marketing tierce liée à une entreprise acquise en 2021. Selon le communiqué de l’entreprise, la violation n’a pas affecté ses systèmes principaux qui stockent des informations clients plus sensibles.
Aura a déclaré qu’un sous-ensemble plus restreint de dossiers contenait des informations personnelles supplémentaires. Ce groupe comptait moins de 20 000 clients actifs et moins de 15 000 anciens clients. Dans ces cas, les données exposées pouvaient inclure des noms, des adresses e-mail, des numéros de téléphone et des adresses domiciliaires. L’entreprise a indiqué que les numéros de sécurité sociale, mots de passe et données financières n’avaient pas été consultés.
Cette violation fait suite aux affirmations d’un acteur malveillant qui a proposé un jeu de données contenant plus de 900 000 dossiers liés à Aura. Une analyse externe des données a indiqué qu’elles comprenaient des coordonnées et d’autres informations telles que les adresses IP et les notes de service client.
Les chercheurs en sécurité ont lié l’incident à une campagne plus large ciblant des systèmes liés aux environnements Salesforce. Des rapports indiquent que les attaquants ont pu exploiter des contrôles d’accès mal configurés dans des services exposés publiquement pour récupérer des données sans authentification.
Aura a indiqué qu’elle informait les personnes concernées lorsque cela était approprié et qu’elle guidait les clients. L’entreprise a également déclaré avoir pris des mesures pour sécuriser les systèmes concernés et prévenir des incidents similaires.
L’entreprise propose des services de surveillance d’identité et de protection contre la fraude, incluant des outils conçus pour alerter les utilisateurs de l’exposition des données. Les responsables ont indiqué que l’enquête sur l’incident est en cours, avec une analyse approfondie axée sur la détermination de l’ampleur complète de la faille et des systèmes concernés.