Le site, dont la réputation n'est plus à faire, permet de vérifier si son adresse e-mail fait partie des plus de 11 milliards de comptes dont des données ont été compromises à l'occasion du piratage d'un peu plus de 500 sites, ou des 114 030 (à ce jour) compilations de données compromises.
Sur son blog, Troy Hunt, son créateur, explique avoir constaté un pic de trafic sans précédent depuis l'annonce de la fuite de 533 millions de numéros de téléphone (dont près de 20 millions de Français, soit environ la moitié des utilisateurs hexagonaux). Il est revenu sur la proposition qui lui avait été faite, il y a 5 ans et demi, de permettre une recherche à partir d'un numéro de téléphone compromis, et pas seulement à partir d'une adresse email, comme c'était le cas jusqu'à lors.
En commentaires de notre brief sur la fuite de données Facebook, un INpactien s'étonnait de voir son numéro reconnu par Have I Been Pwned, mais pas par Have I Been Facebooked?, un autre site web créé sur la base de la seule fuite Facebook.
Nous avons vérifié avec un numéro qui avait fuité et qui, reconnu par le premier, ne l'était pas lui non plus par le second. Au risque de pâtir d'un faux sentiment de sécurité, on recommandera donc de vérifier auprès du site réputé de Troy Hunt.
Il suffit d'entrer son numéro de téléphone, sans le 0, précédé du code de son pays (33 pour la France) dans la barre de recherche et le site indiquera s'il figure dans la fuite.
Commentaires (32)
#1
Quand je vois que Free enregistre en clair ou au moins de façon déchiffrable les mots de passe de ses clients (il m’ont renvoyé le mien dans un email), je me dis qu’on est vraiment au tout début de ces violations de données.
#1.1
Pareil pour la mutuelle du boulot, et non seulement le mot de passe était envoyé en clair, mais en plus, toutes les lettres minuscules ont été transformées en majuscule. (Finalement, il s’avère que le champ à la connexion est insensible à la casse)
D’ailleurs : “le mot de passe doit être composé uniquement de lettres non accentuées et de chiffres, en majuscule ou en minuscule et sa longeur doit être comprise entre 5 et 8 caractères”
#1.2
Un site gouvernemental Québécois faisait pareil (renvoie du mot de passe en clair). Je les ai informé qu’en France la CNIL préconisait de prendre des précautions avec les mots de passes https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Quelque temps après le site ne renvoyait plus le mot de passe en clair.
#1.3
Le Québec est-il donc toujours une dépendance française ?
#1.4
Peut-être ce sont-ils juste dit qu’une bonne pratique venue des cousins valait la peine d’être reprise.
#2
Le deuxième affiche d’ailleurs maintenant une 451, la CNIL italienne ayant indiqué que l’utilisation des données volées est hors la loi (même à titre préventif).
Pour le coup je ne saisis pas bien l’intérêt de bloquer ce type d’initiative si elle ne propose rien comme alternative autre que “soyez vigilants”. Heureusement que Have I Been Pwned n’est pas concerné par cette mesure.
#3
Pareil je suis sur HaveIBeenPwned mais pas sur HaveIBeenFBed
#4
Bravo Facebook, faut bien faciliter la vie des doxxers, scammeurs, fisheurs, voleurs d’id… L’argent avant la sécurité des données n’est ce pas?
#5
Question bête: on fait quoi si son numéro est dans la liste ? Pour un mot de passe qui fuite je sais quoi faire mais un numéro de téléphone…
#5.1
on redouble de vigilance sur le phishing…
#6
Mon numéro de téléphone et émail sont sur mon site déja ;)
#7
Bizarrement mon numéro de téléphone est pwned Facebook mais pas l’e-mail. (WhatsApp ?)
#8
a) le commentateur qui indique avoir testé avec son tel pour voir les résultats
b)
maintenant NXI tourne par son réseau de commentateurs pour faire l’actu
ça c’est vraiment un truc que j’ai du mal à comprendre : des gens scandalisés, choqués qui s’offusquent de faire de l’argent leur priorité numéro 1 : non, c’est normal, le monde tourne là dessus. Les entreprises passent leur morale après leur rentabilité, comme beaucoup d’ailleurs : tout le monde court après l’argent -sauf deux trois nerds de NXI
-.
#9
Sur https://haveibeenfacebooked.com/
j’ai “451 - Unavailable For Legal Reasons”
Quelqu’un confirme?
#9.1
Oui, la raison de cela est mise en lien : la CNIL italienne a interdit l’usage de la base même pour de la prévention…
#9.2
Je confirme, apparemment une autorité italienne empêche ce site de fonctionner pour raisons légales. Je n’ai pas bien compris les détails, ce serait bien que Next Inpact fasse un article (ou une brève) là-dessus.
Dans l’idéal, même si ça donne très envie, il ne vaut mieux pas envoyer dans un formulaire son numéro de téléphone sur un site non gouvernemental qui “vient d’ouvrir”, prétendant qu’il puisse offrir un service de qualité supérieur à celui de Have I Been Pwned. Je vois d’ailleurs que ce site (HaveIBeenFBed) n’apparaît pas dans l’article d’hier de Next Inpact mais dans les commentaires. Restons prudents.
#9.3
“The Guarantor warns anyone who has come into possession of personal data from the violation, that their possible use, even for positive purposes, is prohibited by the legislation on privacy, being such information the result of unlawful processing.”
Une question (préventive) de législation italienne on dirait…
#10
Bon fait le tour des numéros de la famille étendu va falloir en prévenir 3
#11
Après dans l’absolu il y a pas de mot de passe ici, seulement les numéro de téléphone. Donc au pire des cas, uniquement du phishing ?
#12
ça c’est de la sécurité
#13
C’est moi ou il y a une erreur “HTTP 451 - Unavailable For Legal Reasons”
Following the press release of the italian DPA of April 6, 2021 bearing the following provisions:
“The Guarantor warns anyone who has come into possession of personal data from the violation, that their possible use, even for positive purposes, is prohibited by the legislation on privacy, being such information the result of unlawful processing.” ,
the service has been suspended indefinitely pending further clarification on the legality of it.
We thank all the people who supported us.
Press: [email protected]
Source code: frontend and backend.
Edit, je suis pas le seul
#14
Changer régulièrement de numéro de téléphone va devenir la norme. Ou alors faudrait utiliser des numéros virtuels façon on/off.
Surtout que ce numéro prend de plus en plus d’importance et devient un vrai sésame, genre 2fa, etc…
#15
Aucune de mes adresses mail et encore moins mon numéro de tel (qui est le même depuis 20 ans) présents dans cette base… Il faut croire que j’ai de la chance.
#16
Si je suis dans la liste, d’après la RGPD, Facebook n’est pas supposé me prévenir ?
#16.1
Normalement oui.
#16.2
Ok merci, après avoir vérifié rapidement je n’ai pas d’email. Est-ce que d’autres inpactiens impacté ont reçu une notif de fb ? Possible que j’ai loupé le message étant donné que le hack date de 2019. Sinon niveau justice je pensais faire un minimum de démarche, si jamais une asso consommateur s’y mets.
#17
Tout le problème vient de la soi-disant sécurité du double facteur : ça ne sécurise rien du tout , l’unique but est de récupérer un numéro de tel valide.
Franchement quelle idée de filer son numéro de téléphone à FB ou twitter ?!
#18
De même et je ne pense pas que la chance ai un rapport là dedans, ou du moins il ne faut pas y compter, je pense qu’à partir du moment où tu as de bonnes pratiques en ligne et que tu utilise le bon sens, tu réduis fortement les risques.
#19
Je suis dedans, mais je me souviens pas d’avoir jamais donné mon numéro à FB. Pour mon nom/prénom date de naissance pareil, ils ont recoupé avec d’autres sources, très probablement Google.
#20
Je suis tombé sur un article très clair et plutôt complet sur cette histoire de base de donné Facebook.
Je suis encore sur le cul de la manipulation utilisée … et ça a fonctionné
Comment les hackers ont fait pour aspirer 500 millions de numéros de portable sur Facebook
#21
Merci pour l’article, très intéressant.
Expérience personnelle : Je dispose d’un compte facebook que j’utilisais pour mes activités associatives. Après avoir installé l’application sur mon smartphone en 2013, facebook s’est mis à me proposer comme “amis” des collègues de travail. Je pense donc qu’il aspirait les numéros de téléphone sans me demander mon avis.
Suite à ça j’ai désinstallé l’application et utilisé une application alternative (Friendly)
#22
C’est une découverte que j’ai seulement fait l’année dernière, les articles sont complet et accessible. Il couvre beaucoup de hack en France et dans le monde en général.
J’ai appris plein de truc tordu avec eux
J’avais fais pareil à l’époque pour FB. J’avais une app sur F-Droid il me semble ou quelque chose dans le genre. Mais bon, une fois les apps officielles intallées une fois, le mal était déjà fait. Et y’avait pas RGPD tout ça à l’époque, c’était open bar.
Et depuis juillet dernier, plus de compte, je pensais être tranquille. Jusqu’à cette info de hack en 2018, un peu avant, et un peu après. J’étais pas tranquille jusqu’à la maj d’Have I been pwned.
Après, c’est peut être que le bout du Titanic x)