Fuites de données 2019 : rétrospective des pires Data Leaks de l’année

Fuites de données 2019 : rétrospective des pires Data Leaks de l’année


Découvrez le classement des pires fuites de données survenues tout au long de l’année 2019. Des incidents désastreux qui nous rappellent que la protection des données demeure un véritable enjeu…

À mesure que le temps passe, on pourrait s’attendre à ce que les fuites de données se raréfient et soient mieux contrôlées. Après tout, les entreprises connaissent désormais ce danger et savent quelles sont les mesures à prendre pour l’éviter…

Toutefois, en réalité, les choses vont de mal en pis. Les données sont de plus en plus convoitées, et représentent donc un précieux butin pour les criminels de tous bords. De fait, en plus d’être toujours plus nombreux, les hackers redoublent d’efforts pour s’emparer d’informations personnelles.

La multiplication des fuites de données est par ailleurs proportionnelle à l’augmentation massive du volume de données générées par l’humanité. Ainsi, selon le rapport RiskBased Data Breach QuickView Report 2019 Q3, le nombre de fuites de données au troisième trimestre 2019 était en hausse de 33,3% par rapport à la même période en 2018. Le nombre d’enregistrements exposés, quant à lui, a crû de 112%.

En 2018, le nombre total d’enregistrements volés étaient de 500 millions. Alors que 2019 touche à sa fin, la question qui se pose est de savoir si ce nombre sera plus élevé cette année. Divulgâchis : c’est fort probable, si l’on passe en revue les pires fuites de données de 2019…

Mountberg Limited

mountberg limited

Fuite de 108 millions d’enregistrements

En janvier 2019, le site web ZDnet annonçait la fuite de plus de 108 millions d’enregistrements en provenance du groupe de casinos en ligne Mountberg Limited. Les enregistrements en question étaient des paris effectués par les clients des casinos du groupe, et rassemblaient des informations personnelles à leur sujet ainsi que le montant de leurs dépôts et de leurs retraits.

Ces données étaient exposées sur un serveur ElasticSearch qui n’était pas protégé par un mot de passe. Elles ont été découvertes par le chercheur en sécurité Justin Paine. On ignore toutefois si des criminels ont mis la main sur ces informations…

Canva

canva

Fuite de 130 millions d’enregistrements

En mai 2019, l’outil de graphisme en ligne Canva a été victime d’une fuite de données massive impactant 139 millions d’utilisateurs. Parmi les informations en fuite, on compte les noms d’utilisateur, les vrais noms, les adresses email, les mots de passe et les informations géographiques des utilisateurs.

Sur les 139 millions de victimes, 78 millions avaient un compte Gmail associé à leur compte Canva. Le hacker à l’origine de cette fuite a ensuite mis en vente les données de 932 millions d’utilisateurs de 44 entreprises sur le Dark Web.

Les demandeurs d’emploi chinois

chinois données

Fuite de 202 millions d’enregistrements

En janvier 2019, le chercheur en cybersécurité Bob Diachenko de Hacken découvrait une base de données MongoDB de 854 Gb exposée sur le web. Cette database regroupait 202 730 434 enregistrements sur des demandeurs d’emploi chinois.

Parmi les données, on compte notamment les compétences et l’expérience professionnelle des candidats. Des informations personnelles à leur sujet ont aussi été dévoilées, telles que leurs numéros de téléphone, leurs adresses email, leur statut marital, leur orientation politique, leurs mensurations ou encore leurs ambitions salariales…

Selon l’entreprise chinoise BJ.58.com, ces données auraient été agrégées par une entreprise tierce collectant des informations à partir de nombreux sites web professionnels. Une semaine après que Diachenko ait découvert la brèche, la base de données était enfin sécurisée.

Les citoyens indiens

inde fuite données

Fuite de 275 millions d’enregistrements

En mai 2019, peu après la fuite de données des demandeurs d’emploi chinois, Bok Diachenko annonçait à nouveau une sinistre découverte. Cette fois, la base de données MongoDB exposée contenait 275 265 298 enregistrements de citoyens indiens contenant des informations personnelles très confidentielles.

Parmi les données en fuite, on compte les noms, genres, dates de naissance, adresses email, numéros de téléphone et informations professionnelles des victimes. La database est restée sans protection pendant plus de deux semaines. Elle était hébergée sur AWS.

Les applications tierces de Facebook

facebook tierces

Fuite de 540 millions d’enregistrements

En avril 2019, les chercheurs en sécurité d’UpGuard découvraient que les ensembles de données de deux applications Facebook développées par des tiers étaient exposés sur le web. La première base de données provenait de l’entreprise mexicaine Cultura Colectiva. Elle pesait 146 gigabytes et contenant plus de 540 millions d’enregistrements tels que les commentaires, likes, réactions, noms de compte et identifiants Facebook des victimes.

La seconde application,  » At the Pool « , a été exposée sur le web par le biais d’un bucket Amazon S3. Elle contenant là encore des informations telles que les noms d’utilisateurs, les listes d’amis, les centres d’intérêt ou les identifiants Facebook des utilisateurs…

Les données de 16 sites en vente sur le Dream Market

dark web

Fuite de 620 millions d’enregistrements

En février 2019, The Register annonçait que 617 millions de comptes avaient été dérobés auprès de 16 sites web piratés et mis en vente sur le Dream Market du Dark Web.

Ces sites web sont Dubsmash, MyFitnessPal, MyHeritage, ShareThis, HauteLook, Animoto, EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy et DataCamp.

En s’octroyant ces comptes volés, les acheteurs ont pu mettre la main sur les noms des utilisateurs, sur leurs adresses email et sur leurs mots de passe. Cependant, les mots de passe étaient hashés et devaient donc être décryptés avant de pouvoir être utilisés.

Collection #1

Fuite de 773 millions d’enregistrements

En janvier 2019, Troy Hunt a découvert un ensemble de données comprenant un total de 2 692 818 238 entrées. Les informations exposées étaient principalement des adresses email et des mots de passe en provenance de plus d’un millier de fuites de données. Le nombre d’adresses email uniques atteignait 772 904 991.

Les 87GB de données étaient regroupés dans la Collection#1 hébergée sur le service Cloud MEGA, et des publicités étaient diffusées sur un forum populaire auprès des hackers

Verifications.io

verifications io

Fuite de 808 millions d’enregistrements

La base de données MongoDB contenant 150 Gb de données marketing exposées au grand jour a été découverte par Bob Diachenko et Vinny Troia en avril 2019. Elle appartenait à l’entreprise de validation d’emails Verifications.io.

Aussitôt avertie par Diachenko, la firme a désactivé sa database. Cette dernière contenait quatre collections de données séparées pour un total de 808 539 939 enregistrements.

First American

Fuite de 885 millions d’enregistrements

En juillet 2019, la First American Financial Corp, première compagnie d’assurance immobilière aux États-Unis, a été touchée par une fuite de données. Les enregistrements de transactions de 885 millions d’individus ont été exposés.

Les données les plus anciennes remontaient à 2003. Parmi les informations en fuite, on compte notamment des numéros de comptes bancaires, des numéros de sécurité sociale, des photos de permis de conduire ou encore des reçus de transactions. N’importe qui pouvait y accéder via un navigateur web sans avoir besoin de s’identifier…

TrueDialog

truedialog

Fuite de plus d’un milliard d’enregistrements

C’est en décembre 2019 qu’est survenue la troisième plus grosse fuite de données de l’année. Les chercheurs Noam Rotem et Ran Locar de vpnMentor ont découvert une basse de données exposée appartenant à l’entreprise de communication américaine TrueDialog.

Cette entreprise basée à Austin, Texas, développe des solutions SMS destinées aux petites et grandes entreprises. Elle travaille avec plus de 990 opérateurs télécoms et compte plus de 5 milliards d’abonnés dans le monde.

Malheureusement, son image risque fortement d’être ternie suite à cet incident. La base de données en fuite, hébergée sur Microsoft Azure et exécutée sur Oracle Marketing Cloud, contenait 604 GB de données. Au total, plus d’un milliard d’enregistrements de données extrêmement sensibles ont été exposés.

Des millions de SMS, des noms complets de destinataires et d’utilisateurs, des adresses mail, des numéros de téléphone, des détails sur les comptes et bien sûr les contenus des messages étaient en libre accès…

Orvibo

orvibo

Fuite de 2 milliards d’enregistrements

Tout comme pour TrueDialog, la base de données liées aux produits de maison connectée d’Orvibo a été découverte par Rotem et Locar de vpnMentor. Plus de deux milliards d’enregistrements ont été exposés.

Des utilisateurs du monde entier ont été touchés, puisque les chercheurs ont découvert des logs d’utilisateurs en provenance de France, du Royaume-Uni, des États-Unis, du Mexique, de Chine, du Japon, de Thaïlande, d’Australie ou encore du Brésil.

Parmi les données en fuite, on compte des adresses mail, des mots de passe, des coordonnées de géolocalisation précises, des adresses IP, des noms d’utilisateurs, ou encore la liste des appareils IoT utilisés par les victimes.

Contacté par email le 16 juin 2019, Orvibo n’a pas immédiatement réagi. Même lorsque les chercheurs ont tenté de l’alerter via Tweeter, la réaction s’est fait attendre. Au total, il a fallu patienter deux semaines pour que cette base de données soit enfin sécurisée.

Réseaux sociaux

Fuite de 4 milliards d’enregistrements

C’est tout simplement la plus grosse fuite de données de 2019, et l’un des plus grands Data Leaks en provenance d’une seule source dans toute l’histoire de l’informatique.

En octobre 2019, les chercheurs Diachenko et Troia ont découvert une base de données aisément accessibles via le web puisque stockée sur un serveur ElasticSearch non sécurisé. Cette database contenait 4 terabytes de données personnelles pour un total de 4 milliards d’enregistrements.

Parmi les données en fuite, on compte les noms, adresses email, numéros de téléphone, ainsi que les profils Facebook et LinkedIn des victimes. Cet ensemble de données gargantuesque provenait en fait de deux entreprises spécialisées dans l’enrichissement de données

En plus d’avoir mal protégé le serveur, l’agrégateur de données a donc obtenu et utilisé les informations personnelles des victimes sans qu’elles n’y consentent. C’est ce qui rend cette fuite de données particulièrement scandaleuse…

Cet article Fuites de données 2019 : rétrospective des pires Data Leaks de l’année a été publié sur LeBigData.fr.



Source link