Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Collections #2–5 : 2,2 milliards de noms d’utilisateurs et mot de passe dans la nature

Collections #2–5 : 2,2 milliards de noms d'utilisateurs et mot de passe dans la nature

Le 01 février 2019 à 09h39

Deux semaines après l'annonce de Troy Hunt de Collection #1 (772 millions d'email et 22 millions de mots de passe sur MEGA), Wired a trouvé encore mieux. Voici donc Collections #2–5.

De 87 Go, le poids des fichiers passe à 845 Go avec pas moins de 25 milliards d'enregistrements. Dans le lot, 2,2 milliards d'identifiants uniques et mots de passe sont répertoriés.

Là encore, il s'agit principalement de réunir au même endroit les fuites de données des dernières années. D'ailleurs, 661 millions des enregistrements de la Collections #2–5 se trouvaient déjà dans Collection #1.

Même si les données sont vieilles, les pirates peuvent essayer d'utiliser les identifiants et mots de passe sur plusieurs sites. Si l'internaute les a réutilisés, il peut ainsi accéder à d'autres services.

Have I been Pwned ne s'est pas encore mis à jour avec cette Collections #2–5, contrairement au HPI Identity Leak Checker, l'institut allemand des technologies de l’information de l’Université de Potsdam (Allemagne).

Le 01 février 2019 à 09h39

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bon, j’ai utilisé l’outil HPI ILC et mes deux adresses mails sont concernées.



Sauf qu’on ne sait évidemment ni quel service est concerné, ni le(s) mot(s) de passe associés…



Je suis inscrit sur plusieurs centaines de sites/services et ça me fait un peu suer de devoir changer des centaines de mots de passe… ^^

votre avatar

Avec Have I been Pwned, tu peux avoir le nom des services concernés. Faut juste attendre qu’il mette à jour sa base de données avec ses nouveaux leak (mais déjà avec Collection 1 et pas mal de leaks précédents, il a une bonne base, tu peux d’ores et déjà y jeter un œil). 




Il a aussi un service pour tester les mots de passe :https://haveibeenpwned.com/Passwords  







Et j'ai fait un petit script Python qui permet de tester toute une liste de mots de passe, le site ne permettant que de les tester un à un : https://gist.github.com/MatthieuSarter/73e5ed0133722512bfde90e206abd806
votre avatar

dans le style 1Password a un service similaire intégré à son appli il me semble (mais j’ai une vielles licence pour une vieille version <img data-src=" />)

https://watchtower.1password.com/



ah ben c’est lié à HIBP <img data-src=" />

votre avatar

Au revoir dailymotion et dropbox

votre avatar

Oh, je suis épargné. <img data-src=" />



Étonnant vu que j’ai genre 20 fuites avec mon mail principal . <img data-src=" />&nbsp;

votre avatar

Parle t-on de mots de passe en clair ?

Si oui, je pense qu’il serait utile à tout le monde de connaitre les-dits sites, pour les contraindre à stocker des mots de passe chiffrés (et lancer trois tonnes d’affaires en justice); sinon nous permettre d’en être informé et passer chez un concurrent qui, lui, est un peu plus sérieux.

votre avatar

Il sagit de la suite de la Collection divulguée.

Bleeping Computer avait fait des captures assez parlantes dans leur article :

https://www.bleepingcomputer.com/editorial/security/data-collected-from-old-brea…



Vu la taille, il semble que ce soient les Collections 2 à 5, complétées par AntiPublic #1 et AP MYR&ZABUGOR #2 (j’ai un doute, ce package atteignant plutôt les 911 GB)



Cette histoire va nous permettre de constituer l’une des plus belle référence d’infos (avec toutes les mauvaises habitudes des gens en terme de mots de passe,….)

votre avatar

A noter pour le lien hpi :



The email address you have entered will only be used for searching in our database and, when applicable, to subsequently send an email notification. It will be saved in an obfuscated way to protect you from potential email spam and is never given to a third party.



ah ben si c’est obfusqué, alors je suis rassuré…



(bref à utiliser à vos risques et périls)

votre avatar

mots de passe en clair, pas forcément, ça peut être un hash faible&nbsp;(md5 par exemple <img data-src=" />) mais dans tous les cas, on parle parfois de failles vieilles de plusieurs années&nbsp;(exemple pour moi la plus vieille fuite de données concernant mon mail remonte à 2015) donc c’est pas parce qu’en 2015 un site stockait les mdp en clair que c’est toujours le cas 4 ans après

votre avatar

<img data-src=" />



dommage que recaptcha soit utilisé par contre

edit: sur HPI Identity Leak Checker

votre avatar

Certains ont commencé à tenter de “rentabiliser” ces collections, parfois de façon amusante.



J’ai reçu un mail en allemand avec en clair un (très) vieux mot de passe obsolète depuis fort longtemps, pour une tentative d’extorsion (600 €) sous peine de diffuser mes séances de euh… lustration <img data-src=" /> sur des sites très intéressants sur ce plan <img data-src=" /> enregistrées par ma webcam rendue accessible par ce mot de passe (et qui doit être invisible, je ne la vois pas dans mon appartement) <img data-src=" />

votre avatar

ahah j’ai eut la même pour moi <img data-src=" />.

votre avatar

Comment tu fais pour voir la liste des sites ? je vois collection#1 mais pas le(s) site(s) concerné(s)

votre avatar

J’ai effectivement été imprécis. Il ne donne pas la liste des sites, mais la liste des leaks.



Donc quand c’est un leak spécifiquement lié à un site, comme c’était le cas de la plupart des leaks précédents, ça donne du coup le site. S’il donne juste Collection#1, ça veut dire que c’est dans ce leak là, mais dans aucun des leaks précédemment référencés par HIBP, du coup tu peux pas en savoir plus :(

Collections #2–5 : 2,2 milliards de noms d’utilisateurs et mot de passe dans la nature

Fermer