C’est Wired qui dévoile cette découverte du chercheur Vinny Troia : 1,2 milliard de données personnelles de consommateurs issues de comptes réseaux sociaux, Twitter, Facebook, Linkedin et autres ont été exposées sur un seul serveur en ligne, non sécurisé.
« Au fil des ans, des centaines de milliards de comptes en ligne ont été exposés, ce qui signifie littéralement que chaque être humain sur la surface de la terre a vu des données lui appartenant volées 20 fois ou plus ! », chiffre Sam Curry, Chief Security Officer de Cybereason, commentant l’événement.
Info on 1.2 Billion users exposed online. Includes personal info, @facebook @Twitter and @LinkedIn profiles. https://t.co/V2sisxpIdf #databreach @DataViperIO
— Vinny Troia (@vinnytroia) November 22, 2019
Le post de Vinny Troia est épinglé en Une de son compte Twitter. Des infos personnelles, des profils Linkedin… : 1,2 milliards d’infos d’utilisateurs sont exposées en ligne, indique-t-il ce vendredi 22 novembre. En tout, ce sont 4 téraoctets d’informations personnelles que le chercheur a découvert en octobre dernier, regroupées dans une seule base de données non sécurisée.
Certes, on ne trouve pas dans cette masse d’infos de mots de passe, de numéros de cartes de crédit ou de sécurité sociale, mais des numéros de téléphones fixes et mobiles – 50 millions de numéros uniques – et des profils de réseaux sociaux associés, en provenance de Facebook, Twitter, LinkedIn et GitHub notamment, et des emails – 622 millions de mails uniques.
Une mine de renseignements colossale pour les cybercriminels. Vinny Troia n’en connait pas le dépositaire, et il n’est guère possible de savoir si quelqu’un a trouvé et exploité ces données. Le serveur a depuis la découverte été mis hors ligne.
« Le fait que les données compromises ne soient pas datées et que celles-ci ne contiennent pas d’informations sensibles et donc recherchées par les hackers – tels que les mots de passe ou les informations bancaires – rendent cette faille moins critique », tempère le spécialiste Rich Turner, SVP EMEA chez CyberArk. Pour autant, ces données permettent de réaliser du phishing, et de l’ingénierie sociale, pour obtenir des informations plus sensibles, qu’elles soient personnelles ou professionnels. « Pouvoir accéder non seulement à des adresses électroniques, mais également aux numéros de téléphone et aux profils sociaux de centaines de millions de personnes facilite considérablement les tentatives de phishing ou permet de trouver, de profiler et de compromettre des cibles de grande valeur que ce soit des individus ou des entreprises. L’importante quantité de données dans le référentiel contenait suffisamment d’informations et de détails pour lancer une campagne bien ciblée qui permettrait à un groupe motivé ou à des individus d’obtenir des accès, des identifiants et d’autres informations de grande valeur.»