2,7 milliards d'adresses e-mail exposées en ligne, dont plus d'un milliard incluent des mots de passe

Une énorme base de données de plus de 2,7 milliards d’adresses e-mail a été exposée sur le Web, accessible à toute personne disposant d’un navigateur Web. Plus d’un milliard de ces enregistrements contenaient également un mot de passe en texte brut associé à l’adresse e-mail.

Comparitech a collaboré avec le chercheur en sécurité Bob Diachenko pour découvrir la base de données le 4 décembre 2019. Bien que le propriétaire de la base de données n'ait pas été identifié, Diachenko a immédiatement alerté le FAI américain qui hébergeait l'adresse IP pour qu'il la supprime.

La grande majorité des e-mails provenaient de domaines chinois, notamment qq.com, 139.com, 126.com, gfan.com et game.sohu.com. Ces domaines appartiennent à certaines des plus grandes sociétés Internet chinoises, notamment Tencent, Sina, Sohu et NetEase.

Quelques adresses e-mail possédaient des domaines Yahoo et Gmail, ainsi que des domaines russes tels que rambler.ru et mail.ru.

Après vérification, nous avons conclu que tous les e-mails contenant des mots de passe provenaient de ce que l'on appelle la « Big Asian Leak ». découvert par HackRead . En janvier 2017, un fournisseur du dark web vendait les enregistrements contenant des mots de passe.

Chronologie de la fuite

Comparitech a immédiatement pris des mesures pour supprimer la base de données dès sa découverte afin d'atténuer les dommages causés aux utilisateurs finaux, mais nous ne savons pas si quelqu'un y a accédé entre-temps. Voici ce que nous savons :

• 1er décembre 2019 : la base de données a été indexée pour la première fois par le moteur de recherche BinaryEdge et est depuis lors accessible au public.
• 4 décembre 2019 : Diachenko a découvert la base de données et a immédiatement pris des mesures pour informer les parties responsables.
• 9 décembre 2019 : L'accès à la base de données a été désactivé.

Au total, les données ont été exposées pendant plus d’une semaine, ce qui a donné aux parties malveillantes suffisamment de temps pour les retrouver et les copier à leurs propres fins.

La base de données semblait se mettre à jour et s'agrandir en temps réel. Le nombre de comptes est passé de 2,6 à 2,7 milliards entre le moment où nous avons envoyé la notification et celui où la base de données a été supprimée.

Quelles informations ont été exposées ?

Les 1,5 To de données contenaient un nombre étonnant de 2,7 milliards d’enregistrements. Plus d’un milliard d’entre eux incluaient des mots de passe.

Étant donné que de nombreux Chinois ont des difficultés à lire les caractères anglais, ils utilisent souvent leur numéro de téléphone ou d’autres identifiants numériques comme nom d’utilisateur. Par conséquent, nous pouvons supposer que bon nombre de ces adresses e-mail contiennent également des numéros de téléphone.

En plus des adresses e-mail et des mots de passe, les enregistrements contenaient les hachages MD5, SHA1 et SHA256 de chaque adresse e-mail. Les hachages sont du texte crypté (l'adresse e-mail, dans ce cas) d'une longueur fixe. Ils sont souvent utilisés pour stocker des données en toute sécurité dans des scénarios où il serait trop dangereux de stocker des données en texte brut. Leur inclusion dans cette base de données ne répond pas à un objectif évident mais ils pourraient être utilisés pour faciliter les recherches dans les bases de données relationnelles.

Dangers des données exposées

Une base de données comme celle-ci est susceptible d'être utilisée pour bourrage d'informations d'identification . Le credential stuffing est une attaque qui tente de se connecter à divers comptes en ligne avec des combinaisons d'e-mail et de mot de passe connues. Les pirates profitent du fait que de nombreuses personnes utilisent le même e-mail et le même mot de passe sur plusieurs comptes. Ils utilisent un système automatisé pour tenter de se connecter sur plusieurs sites en utilisant les informations d'identification stockées dans la base de données.

Une fois que les pirates ont accès à un compte, ils peuvent le pirater en modifiant le mot de passe et l'adresse e-mail associée. Il peut ensuite être utilisé à des fins très diverses, notamment le spam, le phishing, la fraude, le vol, etc.

Les utilisateurs concernés doivent immédiatement modifier les mots de passe de leur compte de messagerie, ainsi que de tout autre compte partageant le même mot de passe.

Qu’est-ce que la « fuite de Big Asian Data » ?

En janvier 2017, HackRead a rapporté qu'un fournisseur de Web sombre vendait 1 milliard de comptes d'utilisateurs volés aux géants chinois de l'Internet. Le rapport mentionne que plus de 60 copies des données ont été vendues au moment de la rédaction pour environ 615 $ chacune en Bitcoin.

La plupart, mais pas la totalité, des enregistrements contenaient des adresses e-mail provenant de domaines chinois :

• Netease : environ 322 millions d'enregistrements provenant de domaines appartenant à Netease, dont 126.com, 163.com, 163.net et Yeah.net.
• Tencent : Environ 130 millions d'e-mails contenaient le domaine qq.com. La société propriétaire de WeChat possède également QQ, l’une des plateformes de messagerie instantanée les plus populaires de Chine.
• Sina : 31 millions d’enregistrements incluaient le domaine sina.com, qui appartient à la société qui exploite le réseau social chinois de type Twitter, Sina Weibo.
• Sohu : 23 millions d'enregistrements contenaient des domaines sohu.com. Sohu exploite une large gamme de services en ligne, notamment un moteur de recherche, de la publicité et des jeux en ligne.

Parmi les autres propriétaires de domaines notables dont les utilisateurs sont concernés par la fuite figurent : TOM Online (tom.com), Eyou (eyou.com), SK Communications (nate.com), Google (gmail.com), Yahoo (yahoo.com), et Hotmail (hotmail.com).

Le fournisseur, DoubleFlag, est bien connu pour vendre des données confidentielles très médiatisées. Les encoches à sa ceinture incluent Epic Games, uTorrent Forum, BitcoinTalk.org, Yandex.ru, Mail.ru, Dropbox, Brazzers et Experian.

Comment et pourquoi nous avons découvert cette fuite

Comparitech s'associe à l'expert en sécurité Bob Diachenko pour analyser Internet et découvrir des bases de données qui ont été exposées au public. Lorsque nous en trouvons un, nous prenons immédiatement des mesures pour informer les parties responsables de le fermer ou de supprimer l'accès.

Diachenko s'appuie sur ses nombreuses années d'expérience en cybersécurité pour détecter et analyser ces fuites. Il met tout en œuvre pour identifier le responsable des données afin de pouvoir les sécuriser.

Nous enquêtons ensuite sur les données exposées pour déterminer quelles données personnelles ont été divulguées, ce qu'elles contenaient, pendant combien de temps elles ont été exposées et à quelles menaces les victimes pourraient être confrontées. Nous compilons nos conclusions dans un rapport comme celui-ci pour sensibiliser les personnes concernées. Notre espoir est de limiter l’accès et l’utilisation abusive des données personnelles par des parties malveillantes.

Rapports précédents

Il s’agit de la plus grande exposition de données découverte par Comparitech à ce jour. Certains de nos autres rapports incluent :

• Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
• 7 millions de dossiers d'élèves dévoilés par K12.com
• 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
• 2,8 millions de dossiers clients CenturyLink exposés
• Fuite de 700 000 dossiers clients de Choice Hotels