Le fabricant d’électronique japonais Casio a révélé une violation de données affectant des clients de 149 pays après que des pirates ont accédé aux serveurs de sa plateforme éducative ClassPad.

Casio a détecté l’incident le mercredi 11 octobre, suite à la panne d’une base de données ClassPad au sein de l’environnement de développement de l’entreprise. Les preuves suggèrent que l’attaquant a accédé aux informations personnelles des clients un jour plus tard, le 12 octobre.

Les données exposées incluent les noms des clients, les adresses e-mail, les pays de résidence, les détails d’utilisation du service et les informations d’achat telles que les méthodes de paiement, les codes de licence et les détails de la commande.

Casio affirme que les informations de carte de crédit n’ont pas été stockées dans la base de données compromise.

Au 18 octobre, les attaquants ont accédé à 91 921 éléments appartenant à des clients japonais (y compris des particuliers et 1 108 clients d’établissements d’enseignement) et à 35 049 enregistrements appartenant à des clients de 148 pays et régions en dehors du Japon.

« À l’heure actuelle, il a été confirmé que certains paramètres de sécurité du réseau dans l’environnement de développement ont été désactivés en raison d’une erreur opérationnelle du système par le service en charge et d’une gestion opérationnelle insuffisante », indique l’entreprise. dit.

« Casio pense que ce sont là les causes de la situation qui a permis à un tiers d’obtenir un accès non autorisé. »

ClassPad toujours en ligne, réclamations antérieures pour violation

Bien que la base de données compromise soit actuellement « inaccessible aux entités externes », l’application ClassPad.net reste opérationnelle. Casio a précisé que les pirates n’ont pas infiltré les systèmes au-delà de la base de données compromise au sein de l’environnement de développement.

Le lundi 16 octobre, Casio a signalé l’incident à la Commission japonaise de protection des informations personnelles et collabore avec les autorités chargées de l’application de la loi pour les aider dans leur enquête sur les violations.

De plus, Casio travaille avec des experts externes en cybersécurité et en criminalistique pour mener une enquête interne afin de trouver les causes sous-jacentes de l’incident et d’élaborer des contre-mesures en réponse à la violation.

Début août, un acteur malveillant (connu sous le nom de Thrax) a affirmé avoir divulgué plus de 1,2 million d’enregistrements d’utilisateurs sur le forum de cybercriminalité BreachForums, prétendument volés sur un serveur de services de bureau à distance (RDS) avec d’anciennes bases de données casio.com.

​Les informations prétendument volées contiennent des entrées jusqu’en juillet 2011, des clés AWS et des informations d’identification de base de données.

« Cette base de données est assez vieille, mais croyez-le ou non, elle a été supprimée d’un serveur RDS en direct aujourd’hui. Si quelqu’un veut les clés AWS (avec des autorisations assez juteuses, un accès au compartiment S3, etc.) et les informations d’identification de la base de données, etc. ., envoyez-moi un message », a déclaré l’acteur menaçant.

« Un utilisateur à qui j’ai donné les clés AWS a réussi à trouver une autre base de données. Après avoir consulté cette base de données, la date la plus récente à laquelle j’ai pu faire référence était janvier 2006, une autre ancienne base de données. »

Un porte-parole de Casio n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par BleepingComputer plus tôt dans la journée pour fournir des détails supplémentaires concernant l’incident d’octobre et confirmer les affirmations de Thrax.