Des milliards de numéros de téléphone divulgués combinés à l'ancienne fuite de Facebook

Un nombre impressionnant de 3,8 milliards d'enregistrements contenant des numéros de téléphone d'utilisateurs ont été divulgués sur la plate-forme de médias sociaux Clubhouse. Les données, à l'origine considérées comme non particulièrement précieuses par le pirate informatique qui a mis la main sur l'ensemble de données, ont été mises en ligne gratuitement, publiées sur un forum Web sombre. En effet, des données isolées de ce genre n'ont pas beaucoup de valeur mais seulement lorsqu'elles existent dans le vide. Cette situation, cependant, a changé rapidement.

Après le vidage initial des données sur le forum de piratage, un autre pirate informatique s'est mis au travail et a commencé à associer les numéros de téléphone de la fuite de données du Clubhouse avec les données d'une autre fuite massive qui a eu lieu plus tôt en 2021.

En avril, Facebook a divulgué les données de compte d'un peu plus d'un demi-milliard de comptes d'utilisateurs. Le mauvais acteur a commencé à faire correspondre ces données plus anciennes avec la nouvelle fuite de Clubhouse et tout à coup, l'ensemble de données combiné a commencé à sembler beaucoup plus attrayant.

Même si les données isolées ne valent pas grand-chose en elles-mêmes, lorsqu'elles sont combinées à des informations plus pertinentes, elles forment de nouveaux ensembles de données qui peuvent être considérés comme des informations personnellement identifiables et qui peuvent être exploitées de plusieurs manières par les acteurs de la menace.

Les experts en sécurité avertissent que les données nouvellement combinées sont exploitables de différentes manières et constituent un outil beaucoup plus dangereux entre les mains des acteurs de la menace par rapport aux fuites de données isolées.

Lorsque suffisamment de données sont regroupées, elles peuvent être utilisées à la fois pour des attaques par piratage de compte, ainsi que pour le smishing - la version SMS des e-mails de phishing. Les comptes qui sont pris en charge avec succès peuvent être débarrassés de tout article de valeur financière, tels que des coupons et des cartes-cadeaux.

Outre le petit vol, les mauvais acteurs pourraient également exploiter des comptes compromis et utiliser cet accès pour même prendre pied dans l'entreprise dans laquelle cette personne travaille.

Même si le vidage de données uniquement par téléphone a été publié gratuitement sur le forum de piratage, les données nouvellement combinées, associées aux enregistrements de fuite de Facebook, sont désormais à gagner pour la somme de 100 000 $. Le pirate informatique qui a pris le temps de faire correspondre les téléphones et les enregistrements Facebook vend également de plus petites parcelles des 3,8 milliards d'enregistrements à des prix plus abordables.