La base de données incriminée a été découverte par vpnMentor, un acteur qui évalue les VPN et prodigue des conseils aux clients. En tout, il s'agirait de 264 giga-octets de données, dont des adresses e-mail, numéros de cartes de crédit, données de login non cryptées et factures. Des journaux de sécurité internes, des clés API privées et des informations relatives tant à des intégrations SAP qu'à des serveurs de clients auraient aussi pris la clé des champs, selon vpnMentor dans un message posté sur son blog.

La fuite a été découverte le 2 juin et révélée ce même jour par vpnMentor à Tech Data. Tech Data a colmaté la brèche deux jours plus tard.

"Comme Tech Data est un acteur en vue dans le secteur, la base de données poreuse a rendu l'entreprise vulnérable vis-à-vis de la concurrence, qui veut en tirer un avantage déloyal, mais aussi des hackers, qui veulent infecter le contrôle des systèmes, avant d'en abuser avec du 'ransomware' notamment", précise vpnMentor.

Tech Data: aucune donnée de paiement stockée

Tech Data a entre-temps réagi à la fuite de données: "Tech Data a pris récemment connaissance d'un point faible dans la sécurité d'un serveur connecté à notre plate-forme StreamOne. Dans les quelques heures qui ont suivi la découverte de cette brèche de sécurité, celle-ci a été résolue et le serveur désactivé."

"Sur base de ce que nous savons pour le moment, il n'y a aucune preuve que les données stockées sur le serveur en question aient été abusées pour des transactions non autorisées ou à des fins de fraude. Nous continuons d'examiner cet incident et satisferons à tous les exigences voulues au niveau du rapportage."

Ce qui est étonnant, c'est que Tech Data insiste sur le fait qu'elle ne stocke pas de données de paiement, alors que vpnMentor prétend avoir pu en visionner.

"Nous ne stockons ni numéros de cartes de crédit ni données bancaires sur la plate-forme StreamOne. Ce qui est important aussi, c'est qu'aucune donnée de login pour StreamOne ou d'autres comptes de clients Tech Data n'était stockée sur le serveur. Alors que notre examen se poursuit, nous sommes à même de signaler que le serveur pouvait contenir une combinaison de données professionnelles, dont des informations figurant sur une carte de visite, ainsi que certains autres renseignements tels des données de login uniques utilisées pour activer des services 'cloud' spécifiques, et la date et l'heure auxquelles pareille activation a eu lieu."

En collaboration avec Dutch IT-Channel.