Connexion
Abonnez-vous

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Le 25 novembre 2019 à 09h08

Les chercheurs en cybersécurité Bob Diachenko et Vinny Troia ont trouvé un serveur Elasticsearch contenant 4 To de données librement accessibles (il est désormais inaccessible). Ils détaillent leur trouvaille dans ce billet de blog

Dans le lot, 1,2 milliard d'utilisateurs uniques étaient référencés, dont 622 millions d'adresses emails. On y trouvait également des noms, numéros de téléphone et des informations provenant de profils LinkedIn et Facebook.

Les informations proviendraient de deux sociétés différentes : People Data Labs et OxyData.Io. S'il n'est pas question de mots de passe ni de données bancaires, ces données personnelles peuvent permettre de lancer des attaques par phishing.

Have i been pwned a été mis à jour avec les 622 millions d'adresses emails, ce qui en fait la quatrième fuite la plus importante (sur les emails) recensée par le service.

Le 25 novembre 2019 à 09h08

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est ça qui est cool avec les tiers “pour votre bien”, c’est que tu peux être ok pour que LinkedIn utilise tes infos, et paf tu rejoins le monde de l’opendata <img data-src=" />

votre avatar

J’ai reçu une alerte de Mozilla Monitor sur cette fuite.

Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …

votre avatar

On ne sait pas à qui apprtient ce serveur ? <img data-src=" />

votre avatar







INirvana a écrit :



J’ai reçu une alerte de Mozilla Monitor sur cette fuite.

Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …





Ils mentionnent aussi Twitter et Github sur le blog.


votre avatar

Quand tu as fait quelque KYC sur les site de cryptos tu as toujours un doute …

votre avatar

Pour le moment nous n’avons aucune idée précise et vérifiable de l’entité à qui appartient ce service ElasticSearch hébergé chez Google Cloud, et l’une des solutions est de déposer plainte auprès de la CNIL qui pourra mener des investigations dans le cadre de la coopération internationale. Le FBI américain pourrait de son côté mener le plus rapidement ces investigations (Google Cloud est une boîte US).



Nous devrions également nous regrouper pour lancer une action en justice et faire un exemple pour ces data agrégateur/data broker qui font le commerce de nos données. Vu le nombre de personnes concernés, ccela pourrait avoir un énorme impact.



&nbsp;

votre avatar

Et le fichier qui contient 3 Milliards d identifiants dont 6 Million français ….

https://www.zataz.com/information-trois-milliards-de-donnees-diffusees-par-un-pi…

votre avatar

Génial, 21e fuites pour mon mail.

votre avatar

Pour compléter ma précédente intervention, voici une liste de questions et de responsabilités à éclaircir :




- Google Cloud, qui est ici sous-traitant dans le traitement des données a-t-il rempli ses obligations de sécurité et d'information vis-à-vis du client responsable de traitement ? De même pour Amazon Web Service sur lequel est basé l'API de People Data Labs ?      






- Quel est le client de Google Cloud responsable ou responsable conjoint de traitement ?      






- Comment a-t-il acquis ces données ?      






- Comment les sociétés People Data Labs et Oxydata dont proviennent certaines de ces données ont-elles obtenus ces données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Par quelles techniques ? Auprès de qui ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      






-&nbsp; Comment certaines de ces données personnelles qui semblent provenir de plateformes comme LinkedIn, Facebook, Twitter ou Github se sont retrouvés dans cette base ? Ces sociétés ont-elles mises en place les mesures nécessaires pour assurer la sécurité de ces données et éviter par exemple le scrapping ? Ont-elles partagés, vendus ou transférés ces données personnelles avec les deux sociétés People Data Labs et Oxydata ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      






- Quelles sont les autres sociétés impliqués dans cette collecte de données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      






- Comment les sociétés People Data Labs et Oxydata ont sécurisé ces données ? Comment en est-on arrivé à cette brèche de sécurité et fuite de données ?      






Ces questions sont essentielles et les autorités de protection des données, ainsi que les autorités judiciaires de part le monde doivent y répondre et juger de cette affaire SCANDALEUSE.    





Cambridge Analytica n’était qu’un arbre qui cache la forêt que l’on entraperçoit dans cette affaire.

votre avatar

J’avais fait une vague recherche sur Oxydata ou PDL, je sais plus, et y’avais pleins d’entreprises affiliées, dont eBay. Ca pourrait donc aussi venir de là.

votre avatar







dylem29 a écrit :



Génial, 21e fuites pour mon mail.







Ha moi c’est la première (je viens de vérifier).

Zut…. ils ont mon adresse mail poubelle que je n’utilise plus depuis 5 ans. Ha les salauds.<img data-src=" />


votre avatar

Purée, je suis pas dans le myard deux ! Ni en pro, ni en perso… <img data-src=" />

Je suis un exclu de la société des réseaux sociaux… <img data-src=" />



edit : <img data-src=" /><img data-src=" /><img data-src=" />

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Fermer