809 millions de données utilisées illégalement par une compagnie de marketing

809 millions de données utilisées illégalement par une compagnie de marketing

Tout ce dont vous aviez besoin pour accéder à la base de données des dossiers était d’une connexion Internet.

Les atteintes à la vie privée sont devenues si fréquentes que nos yeux peuvent avoir tendance à passer sous silence la nouvelle d'une autre exposition publique de renseignements personnels. Cependant, il arrive parfois qu'un cas qui dépasse largement l’ampleur des autres dans le domaine public. C’est le cas pour la découverte d'une base de données qui a été décrite comme "la plus grande et la plus complète base de données de courrier électronique que je n’ai jamais rapportée" dit Bob Diachenko, le chercheur qui a découvert l'infraction aux côtés du spécialiste en sécurité Vinny Troia. Selon eux, l'instance en question nommée MongoDB contenait 4 collections de données distinctes. Au total, Diachenko et Troia ont trouvé 808 539 939 enregistrements.

Les informations proposées étaient "plus détaillées que l'adresse électronique et incluaient des renseignements personnels", affirment le chercheur. On pouvait y trouver notamment des codes postaux, numéros de téléphone, adresses postales, adresses électroniques, sexes, adresses IP des utilisateurs et même leur date de naissance. Toutes ces données étaient disponibles pour quiconque disposant uniquement d'une connexion Internet.

L'instance de MongoDB a fourni quelques indices sur l'identité de la personne qui détenait ces données volées, soit une société appelée "Verifications.io". Au moment d'écrire ces lignes, le site Web de la société n'était pas disponible, mais les pages en cache montrent que Verifications.io se décrit comme étant une entreprise de marketing par courriel avec une spécialisation particulière dans le contournement des pièges à spam. L'un de ses services est appelé "Enterprise Email Validation", qui permet aux clients de télécharger des listes de courriels à des fins de marketing. Un courriel présenté comme un test est envoyé au destinataire qui doit simplement le valider. Si un pirate informatique dressait une liste d'entreprises qu'il voulait compromettre, toutes leurs adresses électroniques pourraient être téléchargées vers un service tel que Verifications.io.

En résumé, l'acteur de la menace est en mesure de gagner du temps et de réduire les risques d'être exposé tout en utilisant sa cache de messagerie pour trouver des cibles à poursuivre. Le chercheur a fait part de ses conclusions à Verifications.io qui a mis son site Web hors ligne en guise de réponse. La base de données a également été supprimée le jour même.

Source : Charlie Osborne pour Zero Day

Avez-vous des mots de passe en vente sur le Dark Web? ARS Solutions détient un système de surveillance contre le vol de données permettant de faire un scan en temps réel des principaux forums de revente d’informations et de vous aviser avant qu’il ne soit trop tard.


Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.