La Fondation OWASP (Open Worldwide Application Security Project), une référence dans le domaine de la sécurité logicielle, a récemment révélé une fuite de données due à une configuration incorrecte de leur ancien serveur Web Wiki. Ce problème a mené à l’exposition publique des curriculum vitae de certains de ses membres.
Fondée en décembre 2001, l’OWASP est une organisation à but non lucratif qui se concentre sur l’amélioration de la sécurité des logiciels à travers le monde. Avec des dizaines de milliers de membres répartis en plus de 250 sections, l’OWASP organise des événements éducatifs et des formations sur la sécurité logicielle globalement.
Détails de l’incident
La découverte de cette mauvaise configuration de Media Wiki a été faite fin février 2024, après que plusieurs membres ont contacté l’assistance technique de l’organisation. Les investigations ont montré que seuls les membres ayant rejoint OWASP entre 2006 et 2014 et ayant soumis leur CV lors de leur adhésion étaient affectés. Ces documents comprenaient des informations sensibles telles que noms, adresses email, numéros de téléphone, et adresses physiques.
Réponse de l’owasp
Andrew van der Stock, directeur exécutif de l’OWASP, a précisé que l’organisation avait pris des mesures immédiates pour contenir la fuite. Cela inclut la désactivation de la navigation dans les répertoires du serveur, la révision de la configuration de Media Wiki, et la suppression des CV du site Wiki. L’OWASP a également vidé le cache de Cloudflare et contacté les archives Web pour s’assurer que les informations accidentellement exposées soient également retirées.
L’OWASP s’est engagée à informer toutes les victimes identifiées par des lettres explicatives, mentionnant que beaucoup des informations exposées pourraient être désuètes, étant donné que nombre de ces membres ne font plus partie de l’organisation. Van der Stock a souligné que, pour les données toujours actuelles, il est conseillé aux membres concernés de rester vigilants face aux communications non sollicitées.