1,2 milliard d'enregistrements de données privés ont été trouvés sur un serveur non sécurisé

1.2 billion people affected by a data leak

Ceux d'entre vous qui s'intéressent activement à la cybersécurité ne seront pas trop surpris d'apprendre que des chercheurs ont révélé la découverte d'un autre serveur largement ouvert qui contenait une énorme quantité d'informations personnelles. Cette fois, l'ampleur de la fuite est absolument ahurissante, mais ce qui est encore plus décevant, c'est que lorsque vous apprenez exactement ce qui s'est passé, vous voyez à quel point cet incident était inévitable.

Des chercheurs découvrent 4 To d'informations personnelles sur un serveur Elasticsearch non sécurisé

Le 16 octobre, Vinny Troia et Bob Diachenko sont tombés sur un serveur Elasticsearch qui n'était pas protégé par un mot de passe et qui était accessible à toute personne disposant d'un navigateur et sachant où regarder. Les deux ne sont pas nouveaux dans ce genre de chose. En fait, Bob Diachenko, en particulier, est responsable de la divulgation de plusieurs fuites similaires. Même lui était plutôt choqué par la taille des données exposées dans ce cas particulier, cependant.

La base de données pesait 4 To et détenait 4 milliards de comptes. Il y avait pas mal de doublons, mais même après les avoir supprimés, les chercheurs examinaient les dossiers personnels de plus de 1,2 milliard d'individus. Les index de la base de données n'étaient pas uniformes et les données exposées variaient d'un enregistrement à l'autre. Après avoir traité les informations, les experts ont découvert que le serveur Elasticsearch ouvert contenait, entre autres:

  • Plus d'un milliard d'adresses électroniques personnelles.
  • Plus de 400 millions de numéros de téléphone.
  • Plus de 420 millions d'URL LinkedIn.
  • Plus d'un milliard d'URL et d'identifiants de compte Facebook, ainsi que d'autres données relatives à la présence des utilisateurs sur les réseaux sociaux.

La base de données ne contenait pas de détails de carte de crédit, de numéros de sécurité sociale ou de mots de passe, mais les personnes concernées devaient rester à l'affût des traces de vol d'identité et de fraude. Diachenko et Troia ont partagé les données divulguées avec Troy Hunt, qui les a transférées dans le service d'alerte de violation des données Have I Been Pwned, ce qui signifie que vous pouvez vous y rendre et vérifier si la fuite vous a affecté ou non.

Il va sans dire que dès qu'ils ont découvert les informations, les chercheurs en sécurité ont pris les mesures nécessaires pour les mettre hors ligne. Le FBI a été informé, mais avant que les forces de l'ordre ne puissent agir, la base de données a été détruite, probablement par son propriétaire. Il est impossible de dire quand les données sont apparues sur le serveur Elasticsearch pour la première fois et qui y a accédé lorsqu’elles ont été exposées.

Qui est à blâmer?

Chacun des enregistrements dans une base de données avait un champ intitulé "source", et sa valeur était "PDL" ou "Oxy". "PDL" signifie "People Data Labs" et "Oxy" vient de Oxydata. People Data Labs et Oxydata sont les deux sociétés d’enrichissement de données qui ont collecté tous ces enregistrements.

L’activité d’une société d’enrichissement de données consiste à collecter le plus d’informations publiquement disponibles sur vous et à créer un profil détaillé en fonction de ce qu’elle trouve. Ce profil, avec des millions d’autres, est ensuite vendu à toute personne disposée à payer des frais prédéterminés. People Data Labs et Oxydata ont effectivement collecté les informations. Cela ne veut pas dire qu'ils l'ont filtré.

Après avoir découvert la fuite, Vinny Troia a communiqué ses conclusions à Lily Hay Newman de Wired, qui a signalé l'exposition et contacté People Data Labs et Oxydata pour leur demander ce qu'elles en pensent. Les deux sociétés ont admis qu'elles pourraient constituer la source ultime des informations contenues dans la base de données, mais elles ont toutes deux insisté sur le fait qu'elles n'avaient pas subi de violation de données.

Selon toute vraisemblance, un client de People Data Labs et Oxydata a payé pour toutes ces informations, les a stockées dans une base de données unique et les a laissées sur le serveur Elasticsearch mal configuré. Martynas Simanauskas, représentant d’Oxydata, a déclaré à Wired que sa société avait conclu avec ses clients des accords destinés à garantir le traitement sécurisé des données. Même il a admis, cependant, qu'une fois que le client a eu l'information, les options pour empêcher l'utilisation abusive sont plus ou moins inexistantes.

C'était le principal sujet de discussion dans le blog de Troy Hunt consacré à l'exposition. Le fait regrettable est que les sociétés d’enrichissement de données telles que People Data Labs et Oxydata continueront à collecter nos informations personnelles où qu’elles se trouvent. Ils continueront également à le vendre, et les personnes et les organisations qui le paient le laisseront inévitablement exposé de temps en temps. Que cela nous plaise ou non, nos données sont collectées, organisées et copiées à plusieurs reprises, et permettent de débrancher le câble Ethernet et de vivre comme en 1960. Nous ne pouvons pratiquement rien faire à ce sujet. Compte tenu de tout cela, le fait que cette fuite en particulier ne soit pas survenue plus tôt est en fait assez surprenant.

November 27, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 9 + 4 ?