Les données personnelles de 35 millions de résidents américains exposées sur le Web : rapport
Une mystérieuse base de données marketing contenant les informations personnelles d'environ 35 millions de personnes a été exposée sur le Web sans mot de passe, rapportent les chercheurs de Comparitech. La base de données comprenait des noms, des coordonnées, des adresses personnelles, des ethnies et une multitude d'informations démographiques allant des passe-temps et intérêts aux habitudes d'achat et à la consommation des médias.
L'échantillon de fichiers consultés par les chercheurs de Comparitech a indiqué qu'une majorité des dossiers concernaient des résidents de Chicago, Los Angeles et San Diego et de leurs environs.
La base de données était accessible dans son intégralité à toute personne disposant d’un navigateur Web et d’une connexion Internet. Les informations contenues dans la base de données pourraient être utilisées pour des campagnes ciblées de spam, d’escroquerie et de phishing. Cela menace également la vie privée des personnes qui ne souhaitent pas que leurs informations personnelles, y compris leur adresse et/ou leurs coordonnées, soient rendues publiques.
Chronologie de l'exposition
Bob Diachenko, chef de l’équipe de recherche sur la cybersécurité de Compariech, a découvert la base de données le 26 juin 2021. Nous ne savons pas depuis combien de temps elle a été exposée auparavant.
Après avoir dépensé tous les moyens à notre disposition, nous n’avons pas pu identifier le propriétaire de la base de données. Diachenko a contacté Amazon Web Services, qui hébergeait le serveur de la base de données, pour demander sa suppression.
Les données étaient accessibles jusqu’au 27 juillet 2021.
Au total, l'information a été exposée pendant au moins un mois. Nos expériences de pots de miel montrent que les cybercriminels peuvent trouver et accéder à des bases de données non sécurisées comme celle-ci dans une question d'heures .
Quelles données ont été exposées ?

La base de données Elasticsearch était hébergée sur Amazon Web Services et accessible via une interface Kibana publique qui ne nécessitait aucune authentification pour l'accès. Il contenait plus de 35 millions de documents au total. Chacun de ces dossiers contenait tout ou partie des informations suivantes :
- Nom et prénom
- Adresse du domicile
- Date de naissance
- Numéro de téléphone
- Adresse e-mail
- Origine ethnique
- Genre
- État civil
- Profession
- Données démographiques catégorielles. Il s’agit d’indicateurs de la personne concernée :
- intérêts (automobiles, vin, tricot, etc.)
- consommation multimédia (joueur sur PC, abonné à la télévision par satellite, auditeur de livres audio, etc.)
- revenu estimé
- valeur nette estimée
- possession d'un animal de compagnie
- informations sur la propriété (valeur estimée de la maison, date d'achat, piscine, etc.)
- style de vie (sportif, aisé, high-tech, etc.)
- habitudes d'achat (niveau de carte de crédit, achats de bijoux, nombre de lignes de crédit, etc.)
- affiliations (types d'organismes de bienfaisance, partis politiques, etc.)
Le dossier de chaque personne contient 268 champs d’informations, nous ne les passerons donc pas tous en revue ici.
La plupart des personnes concernées semblent résider dans l’Illinois et en Californie, bien que quelques-unes soient liées aux États voisins. Comparitech a contacté un petit nombre de personnes concernées en utilisant les noms et numéros de téléphone exposés pour vérifier que les informations contenues dans la base de données étaient authentiques.
Chaque enregistrement de la base de données contient également un numéro d'identification à huit ou neuf chiffres. À première vue, certains d’entre eux semblent être des numéros de sécurité sociale, mais après une enquête plus approfondie, nous ne pensons plus que ce soit le cas. Néanmoins, nous exhortons toujours les résidents du comté de DuPage à faire preuve de prudence et à signaler tout incident de tentative d'usurpation d'identité à la FTC .
Aucune information financière ni mot de passe ne figurait dans la base de données.
D'où viennent les données ?
Nous ne savons pas.
Nous n’avons pu découvrir aucune preuve indiquant à qui appartiennent les données. Les organisations que nous avons contactées en tant que propriétaires probables ont nié que les données leur appartenaient. Notre seul indice est que le fuseau horaire du serveur d’hébergement est défini sur Calcutta, en Inde.
Les horodatages dans la base de données indiquent que les informations ont commencé à être collectées dès 2010. Les informations existantes ont été mises à jour et de nouvelles informations ajoutées aussi récemment qu'en mai 2021.
Les données étaient très probablement destinées à des fins de marketing.
Une partie importante des enregistrements comprend un champ appelé « domaine source » qui pourrait faire allusion à l’origine des informations. Le champ contenait souvent des domaines de sites Web où les données auraient pu être initialement collectées. Les sites Web étaient souvent des escroqueries douteuses, voire pures : locations de maisons, cadeaux de croisière, avances d'argent, tirages au sort, etc. Il semble donc plausible qu'il s'agisse d'une base de données de spam ou de marketing frauduleux.
Mais quant à l’identité de la personne ou de l’organisation qui a regroupé toutes les données et les a finalement exposées sur le Web, nous ne le savons pas.
Dangers des informations exposées
La combinaison de données démographiques et d’informations de contact est une mine d’or pour les spammeurs et les escrocs. Ils peuvent utiliser ces informations pour contacter les victimes avec des e-mails, des SMS et des appels personnalisés. Les résidents de Chicago, Los Angeles et San Diego doivent être à l’affût des escroqueries et des stratagèmes de phishing.
Ne cliquez jamais sur un lien dans un e-mail non sollicité et vérifiez toujours l’identité de l’expéditeur avant de fournir des informations personnelles ou financières.
Ces informations menacent également la vie privée des personnes qui ne souhaitent pas que leurs noms, coordonnées et adresses soient rendus publics : victimes de violence domestique, immigrants sans papiers, juges, avocats et anciens criminels, pour n’en nommer que quelques-uns.
Pourquoi nous avons signalé cet incident de données
L’équipe de recherche en cybersécurité de Comparitech analyse régulièrement Internet à la recherche de bases de données non protégées contenant des informations personnelles. Lorsque nous trouvons une base de données exposée, nous commençons immédiatement à rechercher qui en est responsable, qui pourrait être impacté, quelles données sont exposées et l'impact potentiel sur les utilisateurs finaux.
Après avoir identifié le responsable des données, nous l’alerterons immédiatement conformément à notre politique de divulgation responsable. Dès que les données sont sécurisées et que notre enquête est terminée, nous publions un article comme celui-ci pour sensibiliser et réduire les dommages causés aux utilisateurs finaux. Dans ce cas, après avoir échoué à identifier le propriétaire, nous avons alerté l'hébergeur Amazon Web Services, qui a contacté le propriétaire en notre nom.
Rapports d'incidents de données précédents
Comparitech a trouvé et signalé plusieurs incidents de données comme celui-ci, notamment :
- Une entreprise de cybersécurité expose 5 milliards d’enregistrements issus de précédentes violations de données
- L'éditeur de logiciels British Gas expose 3,6 millions d'adresses e-mail de clients
- L'agence indienne des visas expose 6 500 demandes de visa de voyageur sur le Web
- Le service de test COVID-19 de l’Utah expose les pièces d’identité avec photo et les informations personnelles de 50 000 patients
- Le service de marketing des concessionnaires automobiles Friendemic expose 2,7 millions de dossiers de consommateurs
- La chaîne de gymnases Town Sports expose 600 000 dossiers de ses membres et de son personnel
- Le service téléphonique de la prison Telmate expose les messages et les informations personnelles de millions de détenus
- Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils supprimés
- UFO VPN expose des millions de journaux, y compris les mots de passe des utilisateurs
- 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
- Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
- 250 millions de dossiers de support client Microsoft ont été exposés en ligne
- Plus de 260 millions d'identifiants Facebook ont été publiés sur un forum de hackers
- Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
- Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
- Plus de 2,5 millions de dossiers clients CenturyLink ont été divulgués