Si vous avez eu un jour à collaborer avec SmarterSelect, il y a de fortes chances que vos données personnelles aient pu être exposées. En effet, il est apparu aujourd’hui que l’entreprise américaine, spécialisée dans la fourniture de logiciel de gestion des processus de demande de bourses d’études, a divulgué par inadvertance les informations de milliers de candidats. Une situation occasionnée par une mauvaise configuration du Google Cloud Storage. Le constat a été fait par la société de cybersécurité UpGuard. Cette dernière fait état d’un total de 1,5 téraoctet de données concernant différents programmes d’octroi de bourse aux étudiants.
Une fuite de données sensibles et non sensibles
Les données qui ont été compromises par cette mauvaise configuration sont très variées. Selon UpGuard, on y retrouve des relevés de notes, des CV et des factures concernant près de 1,2 million de demandes de programmes de financement. Lesdites factures concernent la période allant de novembre 2020 au 21 septembre 2021.
La société de cybersécurité a indiqué que toutes les informations ayant été divulguées proviennent de deux répertoires. Le premier est un dossier hébergé sur le seau public. Il accueille un total de 23 000 feuilles de calcul et 8000 fichiers ZIP.
Les différents fichiers comportaient des informations d’informations générales comme le nom, l’adresse électronique et le numéro de téléphone des étudiants. D’autres détails plus précis se cachaient dans les documents. Il s’agit notamment de niveau d’étude et de revenu des parents d’étudiants, les résultats scolaires des étudiants et leurs expériences personnelles.
Certains fichiers du répertoire contiennent des informations beaucoup plus personnelles. Il s’agit notamment de lettres de recommandation et d’essais rédigés par les étudiants. Ces derniers y détaillaient leur condition de pauvreté, les abus physiques et sexuels qu’ils ont subis et bien d’autres informations personnelles.
Selon UpGuard, le second répertoire contient près de 2,79 millions de fichiers. Ces derniers renfermaient beaucoup de données sensibles sur près de 1,6 million de personnes ayant sollicité à ce jour SmartSelect. On y retrouve des photos de candidats, des documents financiers et dans certains cas des numéros de sécurité sociale. Des preuves de vaccinations COVID-19 et des descriptions de difficultés s’y retrouvent également.
SmarterSelect mis au courant de la fuite de données
Dès le constat fait, UpGuard a très vite informé SmartSelect. Cela a été fait par deux fois. La première fois était le 15 septembre là où la seconde fois était le 27 septembre. La société américaine n’a réagi que quelques jours après la seconde mise en garde d’UpGuard. Elle a accusé réception le 30 septembre avant de supprimer le 5 octobre, l’option « public » des répertoires mis en cause.
Pour le moment, nul ne sait si des personnes malveillantes ont pu profiter de la faille pour accéder aux données personnelles. UpGuard a profité de cela pour rappeler à quel point la collecte et la conservation d’informations sensibles pouvaient être dangereuses.
De son côté, SmarterSelect n’a pas indiqué si elle avait, oui ou non non, informé les victimes de la fuite de données. L’entreprise américaine n’a pas non plus précisé si elle a informé les bureaux des procureurs généraux des Etats concernés conformément à la loi concernant la loi sur la notification des violations de données.