Accessibles depuis un serveur non sécurisé, ces informations ont probablement été amalgamées par un client peu scrupuleux de deux marchands de données. Preuve que ce type d’activité n’a pas assez de garde-fous.
En octobre dernier, les chercheurs en sécurité de DataViper ont découvert l’une des plus grandes fuites de données personnelles. Ils ont détecté un serveur Elasticsearch non sécurisé hébergeant plus de 4 téraoctets de données, accessibles à tous. Après analyse, il s’est avéré que toutes ces données étaient celles de plus de 1,2 milliard de personnes uniques. Elles regroupaient des noms, des adresses e-mail, des numéros de téléphone et des informations de profil Facebook et/ou LinkedIn. Les chercheurs en sécurité ont prévenu le FBI. Par la suite, le serveur a été déconnecté.
À l’heure actuelle, on ne connait ni le propriétaire de ce serveur ni l’origine de ces données. Leur format, néanmoins, laisse supposer qu’elles proviennent de deux sources différentes, à savoir People Data Labs et OxyData. Ces deux entreprises sont des marchands de données spécialisées dans l’enrichissement : elles mettent à disposition leurs bases de données à des clients qui peuvent ensuite les compléter.
Ces deux entreprises nient être victime d’un piratage ou d’une fuite de données. Elles déclinent donc toute responsabilité. Il est donc probable que l’un de leurs clients ait créé ce serveur. Cette histoire montre, une fois de plus, le risque que représente le partage massif de données personnelles.
Source : 01net