Des données personnelles de 1,2 milliard de personnes étaient sur un serveur non sécurisé

Le par  |  8 commentaire(s)
fuite

Encore une découverte d'informations personnelles en libre accès en ligne. Une impressionnante collection de 4 To de données.

Mi-octobre, les chercheurs en sécurité Bob Diachenko et Vinny Troia ont découvert en libre accès sur un serveur Elasticsearch (sur Google Cloud) quelque 4 To de données. Après analyse, il a été déterminé qu'il s'agissait d'informations personnelles de plus de 1,2 milliard de personnes uniques (dont 260 millions aux États-Unis).

Parmi ces données, 650 millions d'adresses email uniques. Néanmoins, l'impressionnante collection ne contenait pas d'informations sensibles comme des mots de passe, numéros de cartes bancaires ou autres.

facepalm-erreur

Dans un billet de blog sur Data Viper dont il est le fondateur, Vinny Troia souligne des noms, numéros de téléphone, ainsi que des profils Facebook, Twitter, Github et LinkedIn, des informations sur des antécédents professionnels pour ce qu'il qualifie de " fuite de données massive. "

Le serveur Elasticsearch était simplement accessible depuis le navigateur web, sans besoin d'authentification d'aucune sorte et avec la possibilité de télécharger toutes les données. Vinny Troia avait fait part de sa découverte au FBI. Le serveur a depuis été fermé.

Have I Been Pwned (HIBP) référence cette fuite de données. " Les données exposées comprenaient un index indiquant qu'elles provenaient de la société d'enrichissement de données People Data Labs (PDL) et contenaient 622 millions d'adresses email uniques. "

HIBP - qui collabore notamment avec Firefox Monitor - ajoute que le serveur n'appartenait pas à PDL. A priori, ce pourrait être un client qui n'aurait pas sécurisé de manière adéquate la base de données.

Outre PDL, une autre entreprise d'enrichissement de données ou courtier de données, du nom de OxyData, serait une source des informations. Le serveur ne lui appartenait pas non plus et elle réfute aussi un piratage.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2084381
La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles
Le #2084384
ce n'est pas la même fuite mais si le sujet interesse :
https://www.zataz.com/information-trois-milliards-de-donnees-diffusees-par-un-pirate/
Le #2084395
GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...
Le #2084403
skynet a écrit :

GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...


Certes mais ce n'est pas comme si il n'y avait pas eu de précédentS qui auraient pu leur mettre la puce à l'oreille et leur permettre de vérifier la sécurité de leurs serveurs. Je suis toujours très étonné de la légèreté avec laquelle ces entreprises stockent et traitent les données d'utilisateurs. Les autorités devraient mettre en place un genre de permis de détention de données utilisateurs qui serait retiré aux entreprises prenant les choses à la légère comme dans ce cas (entre autre parce que ce n'est pas un précurseur en la matière !)
Le #2084410
GGpog a écrit :

skynet a écrit :

GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...


Certes mais ce n'est pas comme si il n'y avait pas eu de précédentS qui auraient pu leur mettre la puce à l'oreille et leur permettre de vérifier la sécurité de leurs serveurs. Je suis toujours très étonné de la légèreté avec laquelle ces entreprises stockent et traitent les données d'utilisateurs. Les autorités devraient mettre en place un genre de permis de détention de données utilisateurs qui serait retiré aux entreprises prenant les choses à la légère comme dans ce cas (entre autre parce que ce n'est pas un précurseur en la matière !)


c juste qu'un jour un gars s'est dit tiens elasticsearch c pas mal on va tester .
suis sur que personne ne se souvenait que ce serveur etait branché et en plus accessible
Le #2084422
tiseult a écrit :

GGpog a écrit :

skynet a écrit :

GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...


Certes mais ce n'est pas comme si il n'y avait pas eu de précédentS qui auraient pu leur mettre la puce à l'oreille et leur permettre de vérifier la sécurité de leurs serveurs. Je suis toujours très étonné de la légèreté avec laquelle ces entreprises stockent et traitent les données d'utilisateurs. Les autorités devraient mettre en place un genre de permis de détention de données utilisateurs qui serait retiré aux entreprises prenant les choses à la légère comme dans ce cas (entre autre parce que ce n'est pas un précurseur en la matière !)


c juste qu'un jour un gars s'est dit tiens elasticsearch c pas mal on va tester .
suis sur que personne ne se souvenait que ce serveur etait branché et en plus accessible


Certainement mais l'imbécilité, l'incompétence et l'irresponsabilité même par négligence ne sont pas des circonstances atténuantes
Le #2084431
GGpog a écrit :

tiseult a écrit :

GGpog a écrit :

skynet a écrit :

GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...


Certes mais ce n'est pas comme si il n'y avait pas eu de précédentS qui auraient pu leur mettre la puce à l'oreille et leur permettre de vérifier la sécurité de leurs serveurs. Je suis toujours très étonné de la légèreté avec laquelle ces entreprises stockent et traitent les données d'utilisateurs. Les autorités devraient mettre en place un genre de permis de détention de données utilisateurs qui serait retiré aux entreprises prenant les choses à la légère comme dans ce cas (entre autre parce que ce n'est pas un précurseur en la matière !)


c juste qu'un jour un gars s'est dit tiens elasticsearch c pas mal on va tester .
suis sur que personne ne se souvenait que ce serveur etait branché et en plus accessible


Certainement mais l'imbécilité, l'incompétence et l'irresponsabilité même par négligence ne sont pas des circonstances atténuantes


c clair
Le #2084437
GGpog a écrit :

skynet a écrit :

GGpog a écrit :

La course au "je m'en foutisme" continue ! C'est à se demander si ils ne font pas un concours à celui qui laissera l'accès au plus de données personnelles


Il me semble que le RGPD permet de les poursuivre en justice ...


Certes mais ce n'est pas comme si il n'y avait pas eu de précédentS qui auraient pu leur mettre la puce à l'oreille et leur permettre de vérifier la sécurité de leurs serveurs. Je suis toujours très étonné de la légèreté avec laquelle ces entreprises stockent et traitent les données d'utilisateurs. Les autorités devraient mettre en place un genre de permis de détention de données utilisateurs qui serait retiré aux entreprises prenant les choses à la légère comme dans ce cas (entre autre parce que ce n'est pas un précurseur en la matière !)


Entièrement d'accord !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme