Une montagne de données sensibles a été exposée sur Internet


Un chercheur a découvert une base de données non protégée contenant plus de 640 000 fichiers sensibles sur le web. Ces documents, collectés par un courtier de données, contiennent des informations personnelles, judiciaires et financières sur des milliers de personnes.

Un chercheur en cybersécurité du nom de Jeremiah Fowler a découvert une base de données non protégée contenant une montagne d’informations sensibles sur des individus sur la toile le mois dernier.

Le répertoire contenait 644 869 fichiers PDF. On y trouve des milliers de dossiers de véhicules, parmi lesquels des numéros de plaque d’immatriculation, des rapports de propriété foncière, des dossiers judiciaires, des noms complets, des adresses personnelles, des numéros de téléphone, des adresses électroniques, une liste d’emploi et de membres de la famille, et des comptes sur les réseaux sociaux. Tous les dossiers portaient les noms des individus concernés, ce qui facilite la recherche d’informations bien précises.

La base de données appartient en fait à un courtier de données, SL Data Services/Propertyrec. L’entreprise américaine est spécialisée dans la collecte d’informations sur des individus dans le cadre d’acquisitions immobilières. Elle vérifie aussi les antécédents criminels et propose ses services par le biais d’une dizaine de sites web. MalwareBytes, qui relaie l’affaire, rappelle que « les courtiers en données collectent et vendent vos informations, y compris financières, personnelles, comportementales et intérêts, à des fins lucratives ».

À lire aussi : une étude dévoile la porte d’entrée préférée des cybercriminels

Des données non protégées

Toutes ces données étaient accessibles sur la toile pour n’importe quel internaute. La base de données n’était pas protégée par un mot de passe et les fichiers n’étaient pas chiffrés. Sur le papier, des individus malveillants pouvaient donc se servir en toute impunité… Ces données personnelles sensibles sont une mine d’or pour les cybercriminels. Avec ces informations complètes, ils peuvent usurper votre identité et souscrire à des prêts à votre nom.

« Le plus grand risque à mon avis serait la façon dont ils compilent une image complète et un profil d’un individu qui va bien au-delà des informations semi-publiques qui pourraient être en ligne », souligne Jeremiah Fowler.

Comme le rappelle l’expert, ces données peuvent aussi servir à mettre au point des attaques de phishing sophistiquées et convaincantes. En effet, « comme vous le savez en ce qui concerne le phishing, plus vous avez d’informations sur une personne, mieux c’est ». Alors que le nombre d’attaques phishing explose, le fait de « connaître des choses comme l’emploi, les casiers judiciaires et les membres de la famille à partir d’un rapport soulève beaucoup de problèmes de sécurité ».

« Je ne fais que fournir un scénario de risque réel de la façon dont ce type d’information pourrait être exploité par les criminels », tempère Jeremiah Fowler, assurant qu’il n’y aucune preuve que des pirates ont pu voler les données.

Suite à sa découverte, le chercheur a rapidement contacté le courtier. Malheureusement, l’entreprise n’a pas immédiatement réagi. En fait, Fowler explique avoir contacté la firme « pendant plus de deux semaines »… sans obtenir la moindre réponse. Finalement, SL Data Services/Propertyrec a pris les mesures nécessaires pour que le répertoire ne soit plus accessible au public. On ignore combien de temps les données sont restées à la portée du premier venu.

Il y a quelques mois, la National Public Data, un autre courtier spécialisé dans les données personnelles, a été victime d’un piratage. Des cybercriminels se sont introduits dans le système de la société américaine pour exfiltrer une grande quantité d’informations sensibles sur les citoyens des États-Unis.

? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Website Planet



Source
Catégorie article Sécurité

Ajouter un commentaire

Commentaires

Aucun commentaire n'a été posté pour l'instant.