Deux semaines après l'annonce de Troy Hunt de Collection #1 (772 millions d'email et 22 millions de mots de passe sur MEGA), Wired a trouvé encore mieux. Voici donc Collections #2–5.
De 87 Go, le poids des fichiers passe à 845 Go avec pas moins de 25 milliards d'enregistrements. Dans le lot, 2,2 milliards d'identifiants uniques et mots de passe sont répertoriés.
Là encore, il s'agit principalement de réunir au même endroit les fuites de données des dernières années. D'ailleurs, 661 millions des enregistrements de la Collections #2–5 se trouvaient déjà dans Collection #1.
Même si les données sont vieilles, les pirates peuvent essayer d'utiliser les identifiants et mots de passe sur plusieurs sites. Si l'internaute les a réutilisés, il peut ainsi accéder à d'autres services.
Have I been Pwned ne s'est pas encore mis à jour avec cette Collections #2–5, contrairement au HPI Identity Leak Checker, l'institut allemand des technologies de l’information de l’Université de Potsdam (Allemagne).
Commentaires (15)
#1
Bon, j’ai utilisé l’outil HPI ILC et mes deux adresses mails sont concernées.
Sauf qu’on ne sait évidemment ni quel service est concerné, ni le(s) mot(s) de passe associés…
Je suis inscrit sur plusieurs centaines de sites/services et ça me fait un peu suer de devoir changer des centaines de mots de passe… ^^
#2
Avec Have I been Pwned, tu peux avoir le nom des services concernés. Faut juste attendre qu’il mette à jour sa base de données avec ses nouveaux leak (mais déjà avec Collection 1 et pas mal de leaks précédents, il a une bonne base, tu peux d’ores et déjà y jeter un œil).
#3
dans le style 1Password a un service similaire intégré à son appli il me semble (mais j’ai une vielles licence pour une vieille version
" />)
" />
https://watchtower.1password.com/
ah ben c’est lié à HIBP
#4
Au revoir dailymotion et dropbox
#5
Oh, je suis épargné.
" />
" />
Étonnant vu que j’ai genre 20 fuites avec mon mail principal .
#6
Parle t-on de mots de passe en clair ?
Si oui, je pense qu’il serait utile à tout le monde de connaitre les-dits sites, pour les contraindre à stocker des mots de passe chiffrés (et lancer trois tonnes d’affaires en justice); sinon nous permettre d’en être informé et passer chez un concurrent qui, lui, est un peu plus sérieux.
#7
Il sagit de la suite de la Collection divulguée.
Bleeping Computer avait fait des captures assez parlantes dans leur article :
https://www.bleepingcomputer.com/editorial/security/data-collected-from-old-brea…
Vu la taille, il semble que ce soient les Collections 2 à 5, complétées par AntiPublic #1 et AP MYR&ZABUGOR #2 (j’ai un doute, ce package atteignant plutôt les 911 GB)
Cette histoire va nous permettre de constituer l’une des plus belle référence d’infos (avec toutes les mauvaises habitudes des gens en terme de mots de passe,….)
#8
A noter pour le lien hpi :
The email address you have entered will only be used for searching in our database and, when applicable, to subsequently send an email notification. It will be saved in an obfuscated way to protect you from potential email spam and is never given to a third party.
ah ben si c’est obfusqué, alors je suis rassuré…
(bref à utiliser à vos risques et périls)
#9
mots de passe en clair, pas forcément, ça peut être un hash faible (md5 par exemple
" />) mais dans tous les cas, on parle parfois de failles vieilles de plusieurs années (exemple pour moi la plus vieille fuite de données concernant mon mail remonte à 2015) donc c’est pas parce qu’en 2015 un site stockait les mdp en clair que c’est toujours le cas 4 ans après
#10
dommage que recaptcha soit utilisé par contre
edit: sur HPI Identity Leak Checker
#11
Certains ont commencé à tenter de “rentabiliser” ces collections, parfois de façon amusante.
" /> sur des sites très intéressants sur ce plan 
" /> enregistrées par ma webcam rendue accessible par ce mot de passe (et qui doit être invisible, je ne la vois pas dans mon appartement) 
" />
J’ai reçu un mail en allemand avec en clair un (très) vieux mot de passe obsolète depuis fort longtemps, pour une tentative d’extorsion (600 €) sous peine de diffuser mes séances de euh… lustration
#12
ahah j’ai eut la même pour moi
" />.
#13
Comment tu fais pour voir la liste des sites ? je vois collection#1 mais pas le(s) site(s) concerné(s)
#14
J’ai effectivement été imprécis. Il ne donne pas la liste des sites, mais la liste des leaks.
Donc quand c’est un leak spécifiquement lié à un site, comme c’était le cas de la plupart des leaks précédents, ça donne du coup le site. S’il donne juste Collection#1, ça veut dire que c’est dans ce leak là, mais dans aucun des leaks précédemment référencés par HIBP, du coup tu peux pas en savoir plus :(