Les chercheurs en sécurité ont découvert une énorme collection d'adresses électroniques et d'autres données qui ont été laissées sur Internet sans aucune protection.
Bob Diachenko a révélé à la fin de la semaine dernière qu'il avait trouvé un serveur MongoDB non sécurisé avec plus de 808 millions d'enregistrements qui « étaient accessibles publiquement à quiconque dispose d'une connexion Internet. » Le serveur a été trouvé appartenir à l'entreprise de validation de courrier électronique Verifications.io. La société d'email marketing a démonté la base de données peu après avoir été alerté de la faille de sécurité par Diachenko, le vendredi 8 mars. Au moment d'écrire ces lignes, l'ensemble du site Web de cette entreprise peu connue est hors ligne.
En peu de temps, la société de cybersécurité DynaRisk a découvert que le nombre d'enregistrements exposés serait encore plus élevé. Son enquête a permis de découvrir quatre bases de données en plein air, plutôt qu'une seule, selon les conclusions de Diachenko. Au lieu des 150 gigaoctets initialement estimé, la collection comprendrait 196 gigaoctets de données, soit près de 2,07 milliards d'enregistrements.
Pourquoi vous y intéresser?
Les dossiers comprenaient une foule de données, principalement quelque 768 millions d'adresses de courriel. Dans bien des cas, le carnet d’adresses de courriel contenait le nom des usagers, leurs comptes de médias sociaux, numéros de téléphone, dates de naissance, codes postaux, ainsi que des renseignements sur leurs pointages de crédit, montants hypothécaires, taux d'intérêt et d'autres données. Les noms, les revenus et d'autres données propres à un certain nombre d'entreprises ont également été exposés.
Par contre, les mots de passe, les numéros de sécurité sociale et les détails de carte de crédit n'étaient pas inclus parmi les données non sécurisées de MongoDB.
Diachenko a souligné avoir vérifié un échantillon de l'ensemble de données sur le site Web Have I Been Pwned (HIBP) de Troy Hunt, constatant que, contrairement à la collection no 1, les dossiers ne sont pas simplement une agrégation de données provenant de fuites et de violations antérieures.
Quoi qu'il en soit, de telles quantités de données sont utiles non seulement pour les campagnes de marketing, mais aussi pour toutes sortes d'arnaqueurs, qui pourraient utiliser ces informations pour des campagnes d'ingénierie sociale.
Maintenant que les données exposées par Verifications.io ont été ajoutées à la base de données de Hunt, vous pouvez aller vérifier par vous-même si vos données ont également été affectées. Plus d'un tiers des adresses courriel listées sont de nouveaux ajouts à la base de données.