🔍 Contexte

Source : Cybernews, publié le 8 juillet 2026. L’équipe de recherche de Cybernews a découvert le 18 mai 2026 une base de données Elasticsearch publiquement exposée appartenant à Nextcloud, plateforme allemande de stockage cloud open-source.

📦 Données exposées

Le cluster contenait 7,92 Go de données réparties en 367 000 enregistrements dans un index unique correspondant à des fichiers internes Nextcloud :

  • Factures (envoyées et reçues) : adresses e-mail d’employés Nextcloud, noms et adresses de sociétés clientes, e-mails d’émetteurs de factures
  • Contrats, modèles, résumés : détails de partenariats client-fournisseur
  • Scripts Shell et Python développés pour des clients, incluant des identifiants de base de données en dur (hardcoded credentials)
  • Fichiers .eml : contenu d’e-mails non chiffrés, horodatages, adresses expéditeur/destinataire
  • Listes de bêta-testeurs : noms complets et adresses e-mail professionnelles
  • En-têtes HTTP, chemins de fichiers, noms de fichiers, hachages MD5

Parmi les domaines e-mail externes identifiés : IONOS, STRATO (hébergeurs web), et des institutions gouvernementales allemandes dont le MSB NRW (Ministère de l’Éducation de Rhénanie-du-Nord-Westphalie).

⚙️ Cause et réponse

Nextcloud a confirmé que l’incident résulte d’une mauvaise configuration de son infrastructure d’hébergement, sans lien avec la solution Nextcloud elle-même. Aucun serveur client n’a été affecté. La base a été fermée deux jours après la notification (27 mai 2026). L’entreprise a notifié le délégué à la protection des données de l’État compétent.

⚠️ Risques identifiés

  • Phishing ciblé : les e-mails, factures et informations personnelles permettent de construire des leurres convaincants en usurpant l’identité de Nextcloud ou de ses clients
  • Reconnaissance d’infrastructure : les scripts exposés avec des credentials hardcodés pourraient permettre d’identifier des vulnérabilités dans les systèmes clients
  • Ingénierie sociale : employés de Nextcloud et de ses clients exposés

📅 Chronologie

  • 18 mai 2026 : découverte de la fuite
  • 25 mai 2026 : notification initiale à Nextcloud
  • 27 mai 2026 : fermeture de la base exposée

📰 Type d’article

Article de presse spécialisée relatant un incident de fuite de données avec analyse des risques associés, basé sur une investigation indépendante de l’équipe Cybernews.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1566 — Phishing (Initial Access)
  • T1552.001 — Credentials In Files (Credential Access)
  • T1213 — Data from Information Repositories (Collection)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ cybernews.com — source non référencée (0pts)
  • ✅ 13189 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybernews.com/security/nextcloud-cloud-provider-data-leak/