Les chercheurs ont trouvé près de 10,5 milliards de données sur les consommateurs qui sont restées dans près de 10 000 bases de données non sécurisées sur Internet, hébergées dans 20 pays. Ces données incluraient des adresses électroniques, des mots de passe et des numéros de téléphone.
L'étude, menée par NordPass entre juin 2019 et juin 2020 en coopération avec un hacker en chapeau blanc non identifié, qui a scanné le web à la recherche des bibliothèques Elasticsearch et MongoDB à la recherche de bases de données mal configurées.
Il est à noter que trois pays ont été à l'origine de la plupart des enregistrements exposés, la France étant la plus touchée (5,1 milliards d'entrées détectées). La Chine a suivi avec 2,6 milliards d'enregistrements et les États-Unis sont arrivés en troisième position avec 2,3 milliards de points de données. En ce qui concerne les pays ayant le plus grand nombre de bases de données mal configurées, la Chine arrive en tête (4 000), suivie par les États-Unis (3 000) et l'Inde (500).
Comme les informations sont stockées dans des bases de données non protégées, les cybercriminels devraient faire peu ou pas d'efforts pour avoir accès aux données. Avec les dossiers en main, ils pourraient causer toutes sortes de dégâts à leurs victimes.
Par exemple, les données dérobées pourraient être utilisées pour des attaques d'ingénierie sociale visant à vider vos comptes bancaires ou à accéder à vos autres comptes. Ces attaques portent leurs fruits, surtout si vous recyclez vos mots de passe dans divers services en ligne.
Les informations volées pourraient également être utilisées pour mener des attaques de (harponnage) phishing qui pourraient entraîner des centaines de milliers de dollars de pertes, comme un club de la Premier League a failli le découvrir récemment. Dans d'autres cas, les malfaiteurs pourraient vendre les données sur le web, extorquer les victimes ou, comme l'ont montré les récentes attaques « Meow », certaines données pourraient simplement être remplacées par des déchets aléatoires. Les mots de passe sont le strict minimum que les administrateurs auraient dû utiliser pour sécuriser les bases de données.
LECTURE COMPLÉMENTAIRE : Cinq conseils pour assurer la sécurité de vos bases de données
Il est utile de se rappeler certaines bases de la sécurité des comptes, qui comprennent l'utilisation de mots de passe ou de phrases de passe uniques et solides, éventuellement avec l'aide d'un gestionnaire de mots de passe. Il est également fortement recommandé d'opter pour l'authentification multifactorielle, qui ajoute une couche de sécurité supplémentaire en échange d'un effort très faible. Si vous pensez que quelque chose ne va pas avec vos comptes, vous pouvez également consulter notre guide pratique sur la manière de vérifier si votre mot de passe a été volé.