Le brief du 25 Novembre 2019

Publié dans Internet

12

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Les chercheurs en cybersécurité Bob Diachenko et Vinny Troia ont trouvé un serveur Elasticsearch contenant 4 To de données librement accessibles (il est désormais inaccessible). Ils détaillent leur trouvaille dans ce billet de blog

Dans le lot, 1,2 milliard d'utilisateurs uniques étaient référencés, dont 622 millions d'adresses emails. On y trouvait également des noms, numéros de téléphone et des informations provenant de profils LinkedIn et Facebook.

Les informations proviendraient de deux sociétés différentes : People Data Labs et OxyData.Io. S'il n'est pas question de mots de passe ni de données bancaires, ces données personnelles peuvent permettre de lancer des attaques par phishing.

Have i been pwned a été mis à jour avec les 622 millions d'adresses emails, ce qui en fait la quatrième fuite la plus importante (sur les emails) recensée par le service.

12

Tiens, en parlant de ça :

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

17:53IA et algorithmesSociété numérique 19

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

17:31DroitIA et algorithmes 13

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 19

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 13
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 138

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 6
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 26
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 0

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 1

La Dreamcast de Sega fête ses 25 ans

Hardware 0

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 0

Commentaires (12)


CryoGen Abonné
Il y a 4 ans

C’est ça qui est cool avec les tiers “pour votre bien”, c’est que tu peux être ok pour que LinkedIn utilise tes infos, et paf tu rejoins le monde de l’opendata <img data-src=" />


INirvana
Il y a 4 ans

J’ai reçu une alerte de Mozilla Monitor sur cette fuite.
Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …


Jarodd Abonné
Il y a 4 ans

On ne sait pas à qui apprtient ce serveur ? <img data-src=" />


jeryagor Abonné
Il y a 4 ans






INirvana a écrit :

J’ai reçu une alerte de Mozilla Monitor sur cette fuite.
Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …


Ils mentionnent aussi Twitter et Github sur le blog.



monpci
Il y a 4 ans

Quand tu as fait quelque KYC sur les site de cryptos tu as toujours un doute …


Equilibrium
Il y a 4 ans

Pour le moment nous n’avons aucune idée précise et vérifiable de l’entité à qui appartient ce service ElasticSearch hébergé chez Google Cloud, et l’une des solutions est de déposer plainte auprès de la CNIL qui pourra mener des investigations dans le cadre de la coopération internationale. Le FBI américain pourrait de son côté mener le plus rapidement ces investigations (Google Cloud est une boîte US).

Nous devrions également nous regrouper pour lancer une action en justice et faire un exemple pour ces data agrégateur/data broker qui font le commerce de nos données. Vu le nombre de personnes concernés, ccela pourrait avoir un énorme impact.

&nbsp;


Skywa
Il y a 4 ans

Et le fichier qui contient 3 Milliards d identifiants dont 6 Million français ….
https://www.zataz.com/information-trois-milliards-de-donnees-diffusees-par-un-pi…


dylem29 Abonné
Il y a 4 ans

Génial, 21e fuites pour mon mail.


Equilibrium
Il y a 4 ans

Pour compléter ma précédente intervention, voici une liste de questions et de responsabilités à éclaircir : 



- Google Cloud, qui est ici sous-traitant dans le traitement des données a-t-il rempli ses obligations de sécurité et d'information vis-à-vis du client responsable de traitement ? De même pour Amazon Web Service sur lequel est basé l'API de People Data Labs ?      







- Quel est le client de Google Cloud responsable ou responsable conjoint de traitement ?      







- Comment a-t-il acquis ces données ?      







- Comment les sociétés People Data Labs et Oxydata dont proviennent certaines de ces données ont-elles obtenus ces données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Par quelles techniques ? Auprès de qui ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







-&nbsp; Comment certaines de ces données personnelles qui semblent provenir de plateformes comme LinkedIn, Facebook, Twitter ou Github se sont retrouvés dans cette base ? Ces sociétés ont-elles mises en place les mesures nécessaires pour assurer la sécurité de ces données et éviter par exemple le scrapping ? Ont-elles partagés, vendus ou transférés ces données personnelles avec les deux sociétés People Data Labs et Oxydata ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







- Quelles sont les autres sociétés impliqués dans cette collecte de données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







- Comment les sociétés People Data Labs et Oxydata ont sécurisé ces données ? Comment en est-on arrivé à cette brèche de sécurité et fuite de données ?      







Ces questions sont essentielles et les autorités de protection des données, ainsi que les autorités judiciaires de part le monde doivent y répondre et juger de cette affaire SCANDALEUSE.



Cambridge Analytica n’était qu’un arbre qui cache la forêt que l’on entraperçoit dans cette affaire.


Cqoicebordel Abonné
Il y a 4 ans

J’avais fait une vague recherche sur Oxydata ou PDL, je sais plus, et y’avais pleins d’entreprises affiliées, dont eBay. Ca pourrait donc aussi venir de là.


Ricard
Il y a 4 ans






dylem29 a écrit :

Génial, 21e fuites pour mon mail.



Ha moi c’est la première (je viens de vérifier).
Zut…. ils ont mon adresse mail poubelle que je n’utilise plus depuis 5 ans. Ha les salauds.<img data-src=" />



domFreedom
Il y a 4 ans

Purée, je suis pas dans le myard deux ! Ni en pro, ni en perso… <img data-src=" />
Je suis un exclu de la société des réseaux sociaux… <img data-src=" />

edit : <img data-src=" /><img data-src=" /><img data-src=" />