Privacy

Rapport : Découverte d'une faille dans les données de Joko, une fintech spécialisée dans le cashback

Intro
 

MacKeeper a collaboré avec le chercheur indépendant en cybersécurité Bob Diachenko pour dévoiler et rapporter de manière responsable l'incident décrit dans ce rapport de violation de données.

 

Nous aimerions tous économiser de l'argent sur nos achats en ligne et c'est là que la société fintech française Joko peut nous aider.

 

Cette startup propose une application qui récompense les utilisateurs avec du cashback lorsqu'ils effectuent des achats en ligne et en magasin auprès d’un large réseau de prestataires de services et de commerçants.

 

Mais l'entreprise a récemment été victime d'une violation de données découverte par le centre de recherche de MacKeeper.

 

Notre équipe a découvert que Joko avait divulgué par accident son Amazon S3 bucket et des chèques-cadeaux actifs pour toute une série de services en ligne, dont Uber, Uber Eats et Amazon Prime.

 

Bien qu'aucune information sur les utilisateurs n'ait été visible, des milliers de ces chèques-cadeaux étaient accessibles, faisant courir à Joko le risque d'une perte financière et d'une atteinte à sa réputation.

Profil de l'entreprise

Joko a été fondée en 2018 par Xavier Starkloff, Alexandre Hollocou et Nicolas Salat-Baroux et son siège social est situé à Paris, en France.  

 

La startup fintech française a développé une application mobile permettant aux consommateurs de recevoir des récompenses automatiques en cashback de la part de leurs marques préférées chaque fois que les consommateurs effectuent des achats de produits ou de services avec leurs cartes de crédit.

 

La plateforme de Joko compte plus de 500 000 utilisateurs inscrits dans le but de bénéficier de telles offres de cashback. Plus de 1 000 commerçants, dont des entreprises de prestige telles que Nike, Carrefour et Asos, se sont associés à Joko pour leur offrir ces récompenses quotidiennes.

 

À ce jour, les utilisateurs de Joko ont collecté plus d'un million d'euros de cashback auprès de grandes marques. Joko a également levé récemment via un financement de série A, 10 millions d'euros afin de pouvoir se développer dans d'autres pays européens.

Chronologie

Découverte d'une violation de données      17 novembre 2021     
Rapportée le

17 novembre 2021

Le problème a-t-il été résolu ?

Oui

Commentaire transmis par Joko ?

Oui

Résumé relatif à l'exposition des données

Plus de 20 000 chèques-cadeaux concernant Uber, Uber Eats, Amazon Prime, Amazon, Décathlon, IKEA, Zalando et d'autres, avec des valeurs nominales de 15 à 20 EUR ont été trouvés dans un Amazon S3 bucket sans mot de passe et exposé publiquement.

 

La plupart des codes de certificat étaient apparemment encore actifs (d'après la date d'expiration), et avaient apparemment été téléchargés dans le bucket en temps réel.

 

L'environnement exposé était un Amazon S3 Bucket. Il s'agit d'une infrastructure de stockage dans le cloud public proposée par Amazon Web Services (AWS) pour fournir un stockage de données objet via une interface de service web.

 

Une communication immédiate de divulgation responsable a été envoyée à Joko. La société a réagi rapidement et l'incident a été résolu en quelques heures.

 

Selon notre analyse et comme confirmé par l'entreprise, aucune donnée utilisateur n'a été exposée dans le cadre de l'incident.

 

La violation n'a exposé que des fichiers PDF de cartes-cadeaux numériques appartenant à l'entreprise, dont la plupart avaient déjà expiré. L'incident s'est produit en raison d'une erreur de configuration sur des ressources AWS secondaires. Le seul risque était financier, car certaines de ces cartes-cadeaux étaient encore valides alors que la valeur correspondante estimée ne dépassait pas quelques milliers d'euros. Joko a rapidement corrigé le problème et mis les cartes-cadeaux à l'abri des regards indiscrets. 

Code 1

joko- apport de violation de donnees

Code 2

Impact de la violation des données

Bien que les clients de Joko n'aient pas été affectés par cette violation de données, l'entreprise elle-même aurait pu en pâtir.

Risque d'escroquerie

Ces informations étant exposées, il s'agissait davantage d'un risque financier pour l'entreprise que pour ses clients. Les cartes-cadeaux auraient pu être fabriquées ou faire le profit d'escrocs qui auraient trouvé la base de données, puis auraient voulu la vendre en ligne. Tout comme les comptes de jeu volés ou copiés qui sont vendus en ligne en masse, ces informations auraient pu être vendues également.  

 

Il s'agit certainement d'une exposition de données qui aurait pu être évitée et, bien qu'aucune donnée sensible de client n'ait été exposée, cela montre à quel point les entreprises doivent être vigilantes lorsqu'il s'agit de garantir la sécurité en ligne.

Comment protéger votre entreprise contre ce type de faille ?

Aujourd'hui, une sécurité en ligne efficace est plus une nécessité qu'un luxe. Joko aurait pu éviter cette violation de données en respectant certaines mesures de sécurité concernant le S3 Bucket.

Sécurisation de vos serveurs

Vous pouvez restreindre l'accès au Bucket S3 en rédigeant des politiques spécifiant l'accès des utilisateurs. Limiter l'accès par des règles d'utilisation appropriées est une bonne pratique pour les entreprises et les sociétés qui utilisent ce type de stockage dans le cloud.

Chiffrement des données

Il existe différentes façons de crypter vos données, que ce soit côté serveur ou côté client. Dans ce cas précis, il aurait été utile d'adopter les meilleures pratiques en matière de cryptage des données pour assurer la sécurité de ces informations.    

 

Vous pouvez compter sur MacKeeper pour assurer votre sécurité. Il vous permet de :

  • Protéger votre Mac contre 99,7 % des menaces en ligne
  • Supprimer les logiciels publicitaires qui bombardent votre équipement d'annonces indésirables.
  • Récupérer de l'espace disque en supprimant les fichiers indésirables, les doublons et autres applications inutiles.
  • Optimiser les performances de votre Mac en réglant les programmes de démarrage, en libérant de la mémoire vive et en mettant à jour les applications en un seul clic.

Pour plus d'informations, consultez le site web de MacKeeper.
 

Résumé de la violation des données

  • Entreprise impactée : Joko (https://www.hellojoko.com)
  • Environnement exposé : Seau Amazon S3
  • Type de données exposées : Codes de certificats pour des services en ligne d'une valeur maximale de 20 EUR chacun.
  • Nombre estimé d'enregistrements : 20 000 chèques-cadeaux pour Uber, Uber Eats, Amazon Prime, Amazon, Décathlon, IKEA, Zalando et autres.
  • Indexé publiquement par : Le moteur de recherche Grayhat Warfare
  • Découvert le : 17 novembre 2021
  • Signalé le : 17 novembre 2021
  • Problème résolu : Oui
Use your Mac to the fullest! Sign up and get:
Effective tips on how to fix Mac issues
Reliable advice on how to stay safe online
Mac-world news and updates

Thank you!

You’ll love exploring your Mac with us.

Oops, something went wrong.

Try again or reload a page.

Génial ! MacKeeper a été téléchargé.

Installons-le maintenant sur votre Mac.

Voici votre téléchargement. Cliquez dessus pour commencer !

1. Ouvrez

Cliquez ci-dessus pour ouvrir le fichier MacKeeper à partir de votre dossier Téléchargements

first install step

2. Installez

Sélectionnez « Continuer » pour lancer l'installation

second install step

3. Finalisez

Appuyez sur « Installer » pour finaliser l'installation

third install step

4. Profitez

MacKeeper est prêt à optimiser votre Mac

fourth install step