Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Par Sébastien Gavois

Le 25 Novembre 2019 à 09h08
Internet
1 min 12

Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Les chercheurs en cybersécurité Bob Diachenko et Vinny Troia ont trouvé un serveur Elasticsearch contenant 4 To de données librement accessibles (il est désormais inaccessible). Ils détaillent leur trouvaille dans ce billet de blog

Dans le lot, 1,2 milliard d'utilisateurs uniques étaient référencés, dont 622 millions d'adresses emails. On y trouvait également des noms, numéros de téléphone et des informations provenant de profils LinkedIn et Facebook.

Les informations proviendraient de deux sociétés différentes : People Data Labs et OxyData.Io. S'il n'est pas question de mots de passe ni de données bancaires, ces données personnelles peuvent permettre de lancer des attaques par phishing.

Have i been pwned a été mis à jour avec les 622 millions d'adresses emails, ce qui en fait la quatrième fuite la plus importante (sur les emails) recensée par le service.

Commentaires (12)


CryoGen
Le 25/11/2019 à 09h17

C’est ça qui est cool avec les tiers “pour votre bien”, c’est que tu peux être ok pour que LinkedIn utilise tes infos, et paf tu rejoins le monde de l’opendata <img data-src=" />


Nirvana
Le 25/11/2019 à 09h45

J’ai reçu une alerte de Mozilla Monitor sur cette fuite.

Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …


Jarodd Abonné
Le 25/11/2019 à 10h14

On ne sait pas à qui apprtient ce serveur ? <img data-src=" />


jeryagor Abonné
Le 25/11/2019 à 10h19







INirvana a écrit :



J’ai reçu une alerte de Mozilla Monitor sur cette fuite.

Je ne comprends pas trop d’où viennent les données puisque je n’utilise ni sur FB ni sur Linkedin le mail concerné …





Ils mentionnent aussi Twitter et Github sur le blog.



monpci
Le 25/11/2019 à 10h19

Quand tu as fait quelque KYC sur les site de cryptos tu as toujours un doute …


Equilibrium
Le 25/11/2019 à 11h15

Pour le moment nous n’avons aucune idée précise et vérifiable de l’entité à qui appartient ce service ElasticSearch hébergé chez Google Cloud, et l’une des solutions est de déposer plainte auprès de la CNIL qui pourra mener des investigations dans le cadre de la coopération internationale. Le FBI américain pourrait de son côté mener le plus rapidement ces investigations (Google Cloud est une boîte US).



Nous devrions également nous regrouper pour lancer une action en justice et faire un exemple pour ces data agrégateur/data broker qui font le commerce de nos données. Vu le nombre de personnes concernés, ccela pourrait avoir un énorme impact.



&nbsp;


Skywa
Le 25/11/2019 à 11h38

Et le fichier qui contient 3 Milliards d identifiants dont 6 Million français ….

https://www.zataz.com/information-trois-milliards-de-donnees-diffusees-par-un-pi…


dylem29 Abonné
Le 25/11/2019 à 11h39

Génial, 21e fuites pour mon mail.


Equilibrium
Le 25/11/2019 à 12h14

Pour compléter ma précédente intervention, voici une liste de questions et de responsabilités à éclaircir : 




- Google Cloud, qui est ici sous-traitant dans le traitement des données a-t-il rempli ses obligations de sécurité et d'information vis-à-vis du client responsable de traitement ? De même pour Amazon Web Service sur lequel est basé l'API de People Data Labs ?      







- Quel est le client de Google Cloud responsable ou responsable conjoint de traitement ?      







- Comment a-t-il acquis ces données ?      







- Comment les sociétés People Data Labs et Oxydata dont proviennent certaines de ces données ont-elles obtenus ces données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Par quelles techniques ? Auprès de qui ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







-&nbsp; Comment certaines de ces données personnelles qui semblent provenir de plateformes comme LinkedIn, Facebook, Twitter ou Github se sont retrouvés dans cette base ? Ces sociétés ont-elles mises en place les mesures nécessaires pour assurer la sécurité de ces données et éviter par exemple le scrapping ? Ont-elles partagés, vendus ou transférés ces données personnelles avec les deux sociétés People Data Labs et Oxydata ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







- Quelles sont les autres sociétés impliqués dans cette collecte de données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ?      







- Comment les sociétés People Data Labs et Oxydata ont sécurisé ces données ? Comment en est-on arrivé à cette brèche de sécurité et fuite de données ?      







Ces questions sont essentielles et les autorités de protection des données, ainsi que les autorités judiciaires de part le monde doivent y répondre et juger de cette affaire SCANDALEUSE.




Cambridge Analytica n’était qu’un arbre qui cache la forêt que l’on entraperçoit dans cette affaire.


Cqoicebordel Abonné
Le 25/11/2019 à 16h52

J’avais fait une vague recherche sur Oxydata ou PDL, je sais plus, et y’avais pleins d’entreprises affiliées, dont eBay. Ca pourrait donc aussi venir de là.


Ricard
Le 25/11/2019 à 18h28







dylem29 a écrit :



Génial, 21e fuites pour mon mail.







Ha moi c’est la première (je viens de vérifier).

Zut…. ils ont mon adresse mail poubelle que je n’utilise plus depuis 5 ans. Ha les salauds.<img data-src=" />



domFreedom
Le 25/11/2019 à 21h58

Purée, je suis pas dans le myard deux ! Ni en pro, ni en perso… <img data-src=" />

Je suis un exclu de la société des réseaux sociaux… <img data-src=" />



edit : <img data-src=" /><img data-src=" /><img data-src=" />


Fermer