Des adresses mail et mots de passe laissés en accès ouvert par Elsevier

Antoine Oury - 19.03.2019

Edition - Les maisons - Elsevier acces ouvert - Elsevier open access - Elsevier mots passe


C'est une porte ouverte vers des adresses email de chercheurs, ainsi que leurs mots de passe, que le groupe Elsevier a oublié de sécuriser sur un de ses serveurs. Une mauvaise configuration de ce dernier serait à l'origine de cette erreur, qui laissait visible un nombre inconnu de données d'individus inscrits auprès des services de l'éditeur scientifique et académique.

Elsevier
(ActuaLitté, CC BY SA 2.0)


Des utilisateurs des services d'Elsevier, qui avaient créé leurs comptes pour accéder aux contenus publiés par l'éditeur scientifique et académique, comme ses revues, ont vu leurs données personnelles exposées à la vue de tous après la mauvaise configuration d'un serveur de stockage. Une liste des mots de passe des comptes était accessible, mais aussi des liens pour changer ses mots de passe.

Mossab Hussein, responsable de la sécurité au sein de la société SpiderSilk, spécialisée dans la sécurisation des données, a repéré l'anomalie. « La plupart des utilisateurs ont une adresse email en .edu, et sont soit des étudiants, soit des professeurs. Ils pourraient utiliser les mêmes mots de passe pour leurs autres comptes mail, leur accès iCloud », explique-t-il à Motherboard.

Pour Hussein, cette trouvaille est un sacré coup de publicité pour sa société. Pour Elsevier, c'est au contraire une nouvelle peu réjouissante, et assez ironique : partout dans le monde, le groupe éditorial est critiqué pour sa politique vis-à-vis de l'accès ouvert aux articles scientifiques. Une partie de la communauté des chercheurs demande en effet que les résultats de recherches financées par des fonds publics soient accessibles gratuitement, ce que les éditeurs rechignent à faire.

Cette fois, l'accès ouvert aux données personnelles était garanti... « Nous avons corrigé ce problème », a indiqué un porte-parole d'Elsevier après une demande de commentaires de la part de Motherboard. « Nous enquêtons encore pour déterminer les causes, mais il semblerait qu'une erreur humaine de configuration d'un serveur en soit à l'origine. Nous n'avons aucune information sur une quelconque utilisation frauduleuse de ces données. »
Bien entendu, des emails ont été envoyés aux utilisateurs concernés par cette faille de sécurité, avec des instructions pour remettre à jour leur mot de passe et ainsi éviter d'autres désagréments.
 


Commentaires

Pas de commentaires

Poster un commentaire

 

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake exclaim question

Vous répondez au commentaire de

Cliquez ici pour ne plus répondre à ce commentaire

* Laisser vide pour ne pas reçevoir de notification par email de nouveaux commentaires.