Vos données personnelles font-elles partie des 620 millions de comptes mis en vente sur le Web?

620 Million Records For Sale On The Dark Web

De quoi avez-vous besoin si vous souhaitez mettre la main sur un peu plus de 617 millions d’enregistrements de comptes volés sur 16 sites Web différents? Nous avons une réponse étonnamment spécifique. Vous avez besoin une connexion Internet, une valeur environ 16 000 USD en bitcoin et un peu moins de 43 Go espace de stockage gratuit sur votre disque dur.

Les données sont en vente sur Dream Market - une place de marché en ligne sombre accessible à toute personne disposant un navigateur Tor. Magazine informatique en ligne The Register a été le premier à fournir des informations détaillées.

Que propose-t-on?

Encore une fois, la réponse est assez précise. Voici un résumé:

  • 161 millions enregistrements volés une application de messagerie vidéo appelée Dubsmash . Les enregistrements incluent les noms utilisateur, les adresses électroniques, les identifiants, les pays de résidence des utilisateurs et les mots de passe hachés SHA256.
  • Un peu moins de 15 millions d’enregistrements volés à 500px , une communauté de photographie en ligne. Les données compromises incluent, entre autres, les noms utilisateur, adresses électroniques, noms et prénoms, dates de naissance, sels de hachage et mots de passe hachés avec MD5, SHA512 ou bcrypt.
  • Un peu plus de 22,3 millions d’enregistrements tirés de EyeEm , une autre plate-forme en ligne pour les photographes. La plupart des enregistrements consistent en une adresse électronique et un mot de passe haché SHA1.
  • Un peu moins de 20,2 millions enregistrements extraits de 8fit , une application de santé et de remise en forme. Les données comprennent les adresses IP, les noms, les adresses électroniques, les jetons authentification Facebook et les informations des comptes Facebook connectés, le pays de résidence des utilisateurs individuels et les mots de passe bcrypt-hashed.
  • 16 millions d’enregistrements appartenant à Fotolog , un autre réseau social pour les photographes. Le vidage contient des noms, des questions de sécurité et des réponses, des adresses électroniques, des mots de passe hachés SHA256 et autres informations de profil.
  • Plus de 25 millions d’enregistrements volés à Animoto , une plateforme de création de vidéos. Les enregistrements comprennent les noms et prénoms, adresses électroniques, pays de résidence, dates de naissance, sels de hachage et mots de passe hachés SHA256.
  • Un peu plus de 92 millions enregistrements volés à MyHeritage , une plateforme de généalogie en ligne. Les données incluent les dates auxquelles les comptes compromis ont été créés, les adresses électroniques, les mots de passe hachés SHA1 et les sels de hachage.
  • Un peu plus de 151 millions enregistrements volés sur MyFitnessPal , une application de mise en forme appartenant à Under Armour. Chaque enregistrement consiste en une adresse IP, un ID utilisateur, un nom utilisateur, une adresse électronique, un sel qui est corrigé pour la table entière et un mot de passe SHA1.
  • 1 million de disques volés à Artsy , un hub en ligne pour les collectionneurs art. Les enregistrements incluent les noms, adresses e-mail et IP, emplacements et mots de passe hachés SHA512 avec sels.
  • 11 millions de disques volés sur Armor Games , un site Web dédié aux jeux sur navigateur. Les données comprennent les noms utilisateur, les adresses électroniques, les dates de naissance, les mots de passe hachés SHA1 et les sels, ainsi que autres détails de profil.
  • 8 millions enregistrements tirés de Bookmate , un service abonnement à un livre électronique. La plupart des enregistrements comprennent divers détails de profil, noms utilisateur, adresses électroniques et mots de passe hachés SHA512 avec des sels.
  • Un peu moins de 6,2 millions d’enregistrements de CoffeeMeetsBagel , un site de rencontre en ligne. La plupart des enregistrements contiennent des noms, des adresses électroniques, des dates enregistrement, des mots de passe hachés SHA256 et autres détails de compte.
  • 700 000 enregistrements volés de DataCamp , une plateforme de formation en ligne destinée aux personnes souhaitant en savoir plus sur la science et la programmation des données. Les données volées comprennent des adresses électroniques, des mots de passe hachés par bcrypt et autres détails de profil.
  • 28 millions de disques volés à HauteLook , une entreprise de commerce en ligne vendant des vêtements et des bijoux. Les enregistrements contiennent des noms, des adresses électroniques et des mots de passe bcrypt-hashed.
  • 41 millions d’enregistrements extraits de ShareThis , un widget pour les navigateurs et les plateformes de blogs facilitant le partage de contenu. Les données contiennent des noms, noms utilisateur, adresses e-mail, dates de naissance et autres informations de profil, ainsi que des mots de passe hachés DES.
  • Un peu moins de 18 millions d’enregistrements volés de Whitepages , un répertoire téléphonique et d’adresses en ligne. Les données comprennent les noms et prénoms, les adresses électroniques et les mots de passe hachés avec SHA1 ou bcrypt.

La plupart des bases de données ont apparemment été obtenues en 2018 et peuvent être achetées individuellement à des prix allant un peu moins de 50 dollars à environ 2 000 dollars. Le vendeur a déclaré que quelqu un avait déjà acheté les données Dubsmash.

Personne ne connaissait la plupart des violations

Nous avons discuté dans le passé de la façon dont certains incidents de piratage informatique ont pas été découverts pendant des années, et le trésor de données décrit ci-dessus prouve assez bien le propos. Parmi tous les fournisseurs violés, seuls MyFitnessPal , MyHeritage et Animoto ont divulgué les données divulguées année dernière. Les autres ignoraient tout de ces incidents ou les gardaient délibérément cachés.

Maintenant, tout se met en lumière. Peu de temps après la publication du rapport de The Register lundi, 500px a commencé à réinitialiser les mots de passe des utilisateurs. Depuis lors, EyeEm et DataCamp ont également commencé à informer les titulaires des comptes concernés. Lorsqu’ils ont pris contact avec The Register, certains des vendeurs ont déclaré qu’ils avaient besoin de plus de temps pour enquêter avant de pouvoir faire une annonce publique.

Le rêve une personne de confiance

Espérons que toutes les parties concernées feront ce qu elles doivent faire le plus tôt possible, car personne ne doute que les données sont valides et peuvent être utilisées. Les noms utilisateur et les mots de passe sont parfaits pour les attaques de bourrage informations identification , en partie parce qu elles sont nombreuses et en partie parce qu elles sont relativement nouvelles. Les Fuites de collections qui ont récemment fait pas mal de gros titres ont beaucoup attiré attention en raison du volume de données elles contiennent. Étant donné que les noms utilisateur et les mots de passe contenus dans ces dépôts de données ont été volés il y a des années, nombre entre eux sont inutiles. Avec ces violations plus récentes, les chances extraire des informations identification valides sont beaucoup plus importantes.

Cela est dû en partie aux habitudes de stockage des mots de passe des fournisseurs. Comme vous pouvez le constater, aucun d’entre eux n’a stocké ses mots de passe en texte clair, ce qui est bien.. Cependant, beaucoup utilisaient des algorithmes de hachage faibles, ce qui n’était pas si bon.

MD5 et SHA1 peuvent être craqués assez facilement et même des algorithmes plus complexes comme SHA256 peuvent se révéler vulnérables, en particulier si la mise en œuvre est pas parfaite ou si le mot de passe est faible. En théorie, les personnes dont les mots de passe ont été hachés avec bcrypt devraient être en sécurité, mais même les fournisseurs qui ont choisi le bon algorithme incitent les utilisateurs à modifier leurs mots de passe.

Le prix des données personnelles vendues sur le web sombre

Parfois, de vastes quantités informations personnelles peuvent être trouvées sur un forum Internet public auquel on peut accéder via Google. Comme vous pouvez le constater, dans d’autres cas, les données sont vendues sur le Web sombre.

Ce est pas vraiment cher, cependant. Certains des enregistrements de ces bases de données contiennent beaucoup informations personnelles et pourtant, le prix moyen un enregistrement est de 0,00002 $. Pensez-y lors de votre prochaine inscription à un nouveau service.

February 19, 2019

Laisser une Réponse