Des utilisateurs mystérieux ont amassé des dossiers sur des personnes 1.2B via une base de données qui fuit
Deux chercheurs en sécurité ont découvert une base de données de 4TB qui contenait les dossiers d’un nombre impressionnant de 1,2 milliard de personnes. Cette découverte souligne la liberté avec laquelle les données des personnes peuvent circuler sur Internet. Mais est-ce mal de tout amasser ?
Est-il mal de collecter les informations publiques de tout le monde et de les mettre au même endroit ?
Pour le moins, c’est extrêmement effrayant. Vendredi, deux chercheurs en sécurité ont déclaré avoir découvert une base de données de 4 téraoctets qui contenait des informations sur 1,2 milliard de personnes. Cette même base de données a également été exposée ouvertement sur Internet sans aucune sécurité.
“Les données divulguées contenaient des noms, des adresses e-mail, des numéros de téléphone, des informations de profil LinkedIn et Facebook”, a écrit le chercheur Vinny Troia dans un article de blog sur les résultats.
Troia poursuit en disant que cette découverte est “l’une des plus grandes fuites de données provenant d’une seule organisation source dans l’histoire”. Cependant, les données exposées n’étaient pas exactement des informations privées ; une grande partie a en fait été grattée sur Internet.
Après avoir découvert la base de données, Troia et le chercheur en sécurité Bob Diachenko ont remonté la filière d’information jusqu’à deux sociétés appelées People Data Labs (PDL) et Oxydata, spécialisées dans l’analyse et le marketing. Ces deux sociétés détiennent également des données démographiques sur plus d’un milliard de personnes.
Par exemple, PDL se targue de posséder plus de 400 millions de numéros de téléphone et un milliard d’adresses électroniques personnelles. Dans certains cas, PDL a extrait les données des profils du web et des médias sociaux. Dans d’autres cas, il a acheté les informations à des courtiers en données tiers, qui peuvent se spécialiser dans la collecte de données de contact des personnes à partir de sources telles que les registres publics ou les enquêtes.
Les deux sociétés ont offert l’accès aux dossiers pour aider les entreprises à entrer en contact avec des clients potentiels. Oxydata prétend même connaître les antécédents des personnes en matière d’éducation et d’emploi. Mais que se passe-t-il si ces mêmes données tombent entre de mauvaises mains ?
C’est pourquoi Diachenko et Troia trouvent la base de données 4TB si dérangeante. Bien sûr, elle a peut-être été créée à des fins de marketing. Mais les informations ont été recueillies de telle manière qu’il est trop facile pour quelqu’un de faire des recherches et de consulter le profil détaillé d’une personne sur plusieurs années. Par exemple, Troia mentionne la base de données contenant un numéro de téléphone fixe AT&T apparemment enregistré à son nom dans le cadre d’un bouquet de télévision il y a dix ans.
D’après les chercheurs, la base de données n’appartenait pas non plus à PDL ou Oxydata, mais à un utilisateur anonyme. Pour une raison quelconque, le mystérieux acteur tirait les dossiers personnels des deux sociétés, puis les stockait sur ce qui s’est avéré être une recherche élastique hébergée sur Google Cloud.
RELATIVES
*OnePlus subit une brèche dans ses données (à nouveau)
*Disney+ : Nous n’avons pas été piratés, vous utilisez probablement un ancien mot de passe
S’il s’agissait d’un client ayant un accès normal aux données de PDL, cela indiquerait que les données n’ont pas été réellement “volées”, mais plutôt mal utilisées”, a écrit Troia. “Cela ne soulage malheureusement pas les problèmes des 1,2 milliard de personnes qui ont vu leurs informations exposées”.
La bonne nouvelle, c’est que les dossiers exposés ne sont plus en ligne. Troia a dit à Wired que la base de données a été fermée après qu’il ait informé le FBI de son existence. Néanmoins, l’incident souligne à quel point les données personnelles des gens peuvent facilement circuler sur Internet sans aucune protection. Dans le passé, Troia et Diachenko ont tous deux découvert des cas répétés d’entreprises exposant accidentellement des bases de données en ligne contenant des trophées d’informations sur leurs clients.
“Si ce n’était pas une violation, alors qui est responsable de cette exposition ?” demande Troia dans son rapport.
