🔍 Contexte
Source : Cybernews, publié le 8 juillet 2026. L’équipe de recherche de Cybernews a découvert le 18 mai 2026 une base de données Elasticsearch publiquement exposée appartenant à Nextcloud, plateforme allemande de stockage cloud open-source.
📦 Données exposées
Le cluster contenait 7,92 Go de données réparties en 367 000 enregistrements dans un index unique correspondant à des fichiers internes Nextcloud :
- Factures (envoyées et reçues) : adresses e-mail d’employés Nextcloud, noms et adresses de sociétés clientes, e-mails d’émetteurs de factures
- Contrats, modèles, résumés : détails de partenariats client-fournisseur
- Scripts Shell et Python développés pour des clients, incluant des identifiants de base de données en dur (hardcoded credentials)
- Fichiers .eml : contenu d’e-mails non chiffrés, horodatages, adresses expéditeur/destinataire
- Listes de bêta-testeurs : noms complets et adresses e-mail professionnelles
- En-têtes HTTP, chemins de fichiers, noms de fichiers, hachages MD5
Parmi les domaines e-mail externes identifiés : IONOS, STRATO (hébergeurs web), et des institutions gouvernementales allemandes dont le MSB NRW (Ministère de l’Éducation de Rhénanie-du-Nord-Westphalie).
⚙️ Cause et réponse
Nextcloud a confirmé que l’incident résulte d’une mauvaise configuration de son infrastructure d’hébergement, sans lien avec la solution Nextcloud elle-même. Aucun serveur client n’a été affecté. La base a été fermée deux jours après la notification (27 mai 2026). L’entreprise a notifié le délégué à la protection des données de l’État compétent.
⚠️ Risques identifiés
- Phishing ciblé : les e-mails, factures et informations personnelles permettent de construire des leurres convaincants en usurpant l’identité de Nextcloud ou de ses clients
- Reconnaissance d’infrastructure : les scripts exposés avec des credentials hardcodés pourraient permettre d’identifier des vulnérabilités dans les systèmes clients
- Ingénierie sociale : employés de Nextcloud et de ses clients exposés
📅 Chronologie
- 18 mai 2026 : découverte de la fuite
- 25 mai 2026 : notification initiale à Nextcloud
- 27 mai 2026 : fermeture de la base exposée
📰 Type d’article
Article de presse spécialisée relatant un incident de fuite de données avec analyse des risques associés, basé sur une investigation indépendante de l’équipe Cybernews.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1566 — Phishing (Initial Access)
- T1552.001 — Credentials In Files (Credential Access)
- T1213 — Data from Information Repositories (Collection)
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ cybernews.com — source non référencée (0pts)
- ✅ 13189 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://cybernews.com/security/nextcloud-cloud-provider-data-leak/