Last Updated:

1,2 milliard d'enregistrements trouvés en ligne sur un seul serveur

Pierre
Pierre Fuite

Voici la nouvelle fuite de données géante, incluant des profils Facebook, Twitter et LinkedIn.

Depuis plus d'une décennie, les voleurs d'identité, les hameçonneurs et autres arnaqueurs en ligne ont créé un marché noir de données de vente volées et agrégées qui leur permettaient de s'introduire dans les comptes des gens, de voler leur argent, et leur identité. En octobre, Vinny Troia, un chercheur du dark Web, a découvert un de ces documents, exposé et facilement accessible sur un serveur non sécurisé, comprenant 4 téraoctets de renseignements personnels, soit environ 1,2 milliard de dossiers en tout.

Bien que la collection soit impressionnante par son volume, les données ne comprennent pas d'informations sensibles comme les mots de passe, les numéros de carte de crédit ou les numéros de sécurité sociale. Il contient cependant des profils de centaines de millions de personnes, dont des numéros de téléphone personnels et mobiles, des profils de médias sociaux associés comme Facebook, Twitter, LinkedIn et Github, des historiques professionnels apparemment effacés de LinkedIn, presque 50 millions de numéros de téléphone uniques, et 622 millions d'adresses email uniques.

"C'est regrettable que quelqu'un ait laissé tout ça grand ouvert," dit Troia. "C'est la première fois que je vois tous ces profils de médias sociaux rassemblés et fusionnés avec les informations des profils d'utilisateurs en une seule base de données à cette échelle. Du point de vue d'un pirate, si le but est d'usurper l'identité de personnes ou de détourner leurs comptes, vous avez des noms, des numéros de téléphone et des URL de comptes associés. Ça fait beaucoup d'informations en un seul endroit pour commencer."

Ce qui ressort de cet incident, c'est le volume de données qui a été recueilli.

Troy HUNT, HAVEIBEENPWNED

Troia a trouvé le serveur en cherchant des informations avec Bob Diachenko, chercheur en sécurité, sur les services de numérisation Web BinaryEdge et Shodan. L'adresse IP du serveur a simplement été tracée jusqu'à Google Cloud Services, si bien que Troia ne sait pas qui a recueilli les données qui y sont stockées. Il n'a aucun moyen de savoir si quelqu'un d'autre a trouvé et téléchargé les données avant lui, mais il note que le serveur était facile à trouver et à consulter. WIRED a vérifié les adresses électroniques personnelles de six personnes par rapport à l'ensemble de données ; quatre d'entre elles étaient présentes et ont renvoyé des profils exacts. Troia a signalé cette situation au FBI. En quelques heures, dit-il, quelqu'un a débranché le serveur et les données exposées. Le FBI a refusé de commenter cette histoire.

D'origine inconnue

Les données découvertes par Troia semblent être quatre ensembles de données bricolés ensemble. Trois ont été identifiés, peut-être par le propriétaire du serveur, comme provenant d'un courtier en données basé à San Francisco appelé People Data Labs. PDL affirme sur son site Web avoir des données sur plus de 1,5 milliard de personnes à vendre, dont près de 260 millions aux États-Unis. Il affiche également plus d'un milliard d'adresses e-mail personnelles, plus de 420 millions d'URL LinkedIn, plus d'un milliard d'URL et d'ID Facebook, et plus de 400 millions de numéros de téléphone, dont plus de 200 millions de numéros de téléphone portables américains valides.

Sean Thorne, cofondateur de PDL, affirme que son entreprise ne possède pas le serveur qui hébergeait les données exposées, une évaluation que Troia a accepté en raison de sa visibilité limitée. On ne sait pas non plus comment les dossiers sont arrivés là.

"Le propriétaire de ce serveur a probablement utilisé l'un de nos produits de traitement des données, ainsi qu'un certain nombre d'autres services de collecte de données ou de licences," explique Sean Thorne, cofondateur de People Data Labs. "Une fois qu'un client reçoit des données de notre part ou de la part de tout autre fournisseur de données, celles-ci se trouvent sur leurs serveurs et la sécurité est de leur responsabilité. Nous conduisons des audits de sécurité, des consultations et des ateliers gratuits avec la majorité de nos clients."

Troia pense qu'il est peu probable que People Data Labs ait été piraté, car il serait plus simple d'acheter simplement des données à l'entreprise. Un attaquant dont le budget est limité peut également s'inscrire à un essai gratuit dont PDL fait la publicité, offrant 1 000 profils de consommateurs par mois. "Mille profils pour 1 000 comptes falsifiés et vous avez presque tout", souligne Troia.

L'un des autres ensembles de données est intitulé "OXY", et chaque enregistrement qu'il contient contient également une étiquette "OXY". Troia spécule que cela pourrait faire référence au courtier en données Oxydata, basé au Wyoming, qui prétend avoir 4 To de données, dont 380 millions de profils de consommateurs et d'employés dans 85 industries et 195 pays dans le monde. Martynas Simanauskas, directeur des ventes business-to-business d'Oxydata, a souligné qu'Oxydata n'a pas subi de brèche et que la société ne marque pas ses données avec une étiquette " OXY ".

"Bien que la partie de la base de données que Vinny a trouvée puisse probablement provenir de nous ou de l'un de nos clients, elle n'a certainement pas fait l'objet d'une fuite de notre base de données ", a déclaré Simanauskas à WIRED. "Nous signons avec tous nos clients des accords qui interdisent strictement la revente des données et les obligent à s'assurer que toutes les mesures de sécurité appropriées sont prises. Cependant, il n'y a aucun moyen pour nous d'obliger tous nos clients à suivre les meilleures pratiques et lignes directrices en matière de protection des données. D'après la structure des données, il semble clair que la base de données trouvée par Vinny est le produit du travail d'un tiers, avec des entrées générées à partir de multiples sources différentes."

Le fait que ni l'un ni l'autre des courtiers en données n'ait pu exclure la possibilité qu'un de leurs clients ait mal traité leurs données témoigne des problèmes plus vastes de sécurité et de confidentialité inhérents à l'achat et à la vente de données.

"Ce qui ressort de cet incident, c'est le volume considérable de données qui ont été recueillies et la façon dont elles ont été regroupées, stockées et commercialisées à l'insu des propriétaires des données. Mes propres informations personnelles sont là-dedans," dit Troy Hunt, chercheur en sécurité, qui dirige le service complet de suivi de l'exposition aux données HaveIBeenPwned. "Nous voyons certainement plus de données que jamais en circulation. Ce n'est pas seulement dû à un plus grand nombre d'atteintes à la protection des données, c'est aussi dû à la propagation de données qui ont déjà fait l'objet d'atteintes. Nous voyons que les données sont prises par d'autres services, dupliquées, puis piratées à nouveau."

Comme pour certaines de ses révélations passées, Troia a fourni des informations du dossier à Hunt pour HaveIBeenPwned. En tout, Hunt a ajouté plus de 622 millions d'adresses e-mail uniques et d'autres données à son référentiel, et notifie actuellement le réseau HaveIBeenPwned.

Des fuites sans fin

Cette exposition des données n'est que la dernière d'une série apparemment interminable de découvertes à grande échelle. On a recensé, depuis le début de l'année, 2,2 milliards d'enregistrements répartis sur les forums de pirates informatiques sur plusieurs catégories, sous la dénomination Collections #1-5. En mars, Troia et Diachenko ont découvert qu'une seule entreprise de marketing par courriel, Verifications.io, avait laissé 809 millions de dossiers accessibles au public. En 2018, la société de marketing Exactis a divulgué une base de données de 340 millions de dossiers personnels, et une brèche dans les données d'Apollo, la société de renseignements commerciaux, a révélé des milliards de données.

Pour le premier trimestre de 2019, le nombre d'atteintes à la protection des données et d'expositions aux données a augmenté considérablement par rapport à 2018. Troia, qui dirige la société de renseignements sur les risques Data Viper, affirme qu'au cours des dernières années, il a constitué un archivage des données exposées à utiliser pour le repérage et le suivi. À la fin de 2017, il a déclaré qu'il avait intégré 4 milliards de dossiers à sa plateforme. En mars 2018, il en avait ingéré 5 milliards. Aujourd'hui, il en a compilé plus de 13 milliards. "C'est un saut énorme et massif", dit Troia.

Ce n'est pas parce que les données sont exposées en ligne que les pirates y ont accès et, souvent, les données en question sont simplement extraites des dossiers publics. Mais dans l'ensemble, ces indices peuvent créer un risque réel en permettant le vol d'identité, la falsification des justificatifs et l'hameçonnage. Une grande partie des données se retrouvent également sur le dark net, qui a connu récemment une explosion de vols de justificatifs d'identité, selon une étude récente de la société suisse ImmuniWeb, spécialisée dans les tests de sécurité informatique et la surveillance du dark-web.

En un sens, le volume écrasant de données circulant sur le dark net peut créer une sorte de nivellement du risque où plus de volume ne signifie pas nécessairement plus de fraudes réussies. D'autre part, ces marchés sont soumis aux mêmes facteurs d'offre et de demande que les autres, explique Harrison Van Riper, analyste en stratégie et recherche à la firme de sécurité Digital Shadows. À mesure que l'offre augmente, les prix baissent, ce qui fait qu'il est moins coûteux pour un plus grand nombre de criminels d'obtenir plus de matière. M. Van Riper fait remarquer que même si les mots de passe, les numéros de carte de crédit et les pièces d'identité du gouvernement sont les éléments d'information les plus intimidants dont les fraudeurs doivent manifestement disposer, il ne faut pas sous-estimer l'importance des données qui permettent de dresser les profils des consommateurs.

"Certaines des informations publiques qui pourraient être rassemblées en un seul endroit sont déjà diffusées - si vous regardez les pages blanches où vous aviez le numéro de téléphone et l'adresse de quelqu'un -, c'est simplement qu'il est beaucoup plus facile d'y avoir accès maintenant et de les exploiter à grande échelle ", dit-il. "Vu la prolifération, la quantité de données disponibles, quelqu'un va trouver un moyen d'exploiter même les informations les plus banales."

Et un grand merci à toutes ces sociétés autorisées à collecter, consolider et distribuer sans vergogne (ni vérification) des informations qui nous concernent, le tout à notre insu !

 source : https://www.wired.com/story/billion-records-exposed-online/