5 milliards d'enregistrements provenant de violations de données précédentes divulgués par une société de cybersécurité

Une base de données massive de plus de 5 milliards d'enregistrements collectés à partir d'une série d'incidents de données antérieurs a été exposée sur le Web sans mot de passe ni aucune autre authentification requise pour y accéder, selon les chercheurs de Comparitech.

La base de données a été stockée par Cognyte, une société d'analyse de cybersécurité qui a stocké les données dans le cadre de son service de cyberintelligence, utilisé pour alerter les clients des expositions de données par des tiers. Si les coordonnées d’un client apparaissaient dans la base de données, par exemple, celui-ci pourrait recevoir une alerte l’informant qu’un de ses comptes avait été compromis. Ou s’ils utilisent un mot de passe qui a déjà été violé, ils pourraient recevoir une notification pour le modifier.

Ironiquement, la base de données utilisée pour vérifier que les informations personnelles présentant des violations connues étaient elles-mêmes exposées. Les informations comprenaient des noms, des mots de passe, des adresses e-mail et la source originale de la fuite.

L'expert en cybersécurité Bob Diachenko, qui dirige l'équipe de recherche en sécurité de Comparitech, a découvert les données exposées le 29 mai 2021 et a alerté Cognyte, qui les a sécurisées trois jours plus tard.

Cognyte a fait la déclaration suivante à Comparitech :

« Grâce aux informations fournies par le chercheur en sécurité Volodymyr « Bob » Diachenko, Cognyte a pu réagir rapidement et bloquer une exposition potentielle. Nous apprécions cette approche responsable et constructive, qui contribue à sensibiliser et incite les entreprises et les organisations à mettre en œuvre des mesures de sécurité et à mieux protéger leurs données.

Chronologie de l'exposition

Les données ont été exposées pendant au moins quatre jours. Voici ce que nous savons qui s’est passé :

• 28 mai 2021 : La base de données a été indexée par les moteurs de recherche.
• 29 mai 2021 : Diachenko a découvert la base de données et a immédiatement informé Cognyte conformément à notre politique de divulgation responsable.
• 2 juin 2021 : Cognyte a sécurisé les données.

Nous ne savons pas si d’autres tiers ont accédé aux données au moment où elles ont été exposées, ni pendant combien de temps elles ont été exposées avant d’être indexées par les moteurs de recherche. Nos expériences de pots de miel montrent que les attaquants peuvent trouver et accéder aux données exposées en quelques heures .

Quelles informations ont été exposées ?

Les données ont été stockées sur un cluster Elasticsearch. Au total, il contenait 5 085 132 102 enregistrements. Chacun contenait tout ou partie des informations suivantes :

• Nom
• Adresse e-mail
• Mot de passe
• La source de données

Toutes les violations de données à l'origine des données n'incluaient pas des mots de passe, mais nous n'avons pas pu déterminer un pourcentage exact d'enregistrements contenant un mot de passe.

Certaines des violations de données précédentes à l'origine des données comprennent :

• Zoosk
• Verre
• Antipublic
• Mon espace
• Toile
• vérification.io
• iMesh
• Edmodo
• VK
• Exploiter
• Comp. de violation principale
• Randonneur
• Unbip
• Oiseau parfumé
• appen.com
• Toondoo
• Souhait
• Wattpad
• Matthieu
• promo.com
• MGM
• Shelf (librairie brésilienne)

Danger des données exposées

Même si toutes les données ont vraisemblablement été violées auparavant, elles pourraient toujours présenter un risque pour les utilisateurs finaux si des acteurs malveillants y accédaient.

Les mots de passe sont particulièrement préoccupants. Même si l'utilisateur a modifié le mot de passe du compte en question, les attaquants peuvent toujours l'utiliser pour tenter de se connecter à d'autres comptes. C’est ce qu’on appelle une attaque de credential stuffing, et elle exploite le fait que de nombreuses personnes réutilisent les mots de passe sur plusieurs comptes.

Une fois qu'un attaquant a pénétré un compte, il prendra des mesures pour verrouiller l'utilisateur authentique en modifiant son mot de passe et les paramètres de récupération de compte. Ils peuvent alors utiliser et abuser du compte comme s’il s’agissait du leur.

Les données pourraient également être utilisées pour des attaques de phishing, dans lesquelles l'attaquant envoie un e-mail ou un message en se faisant passer pour une figure d'autorité, comme une personne de l'entreprise à laquelle les données ont été volées. Un tel e-mail de phishing demanderait aux victimes de cliquer sur un lien malveillant vers un faux site Web sur lequel elles saisiraient leur mot de passe ou leurs informations de paiement.

À propos de Cognyte

La société israélienne Cognyte [NASDAQ:CGNT] se décrit sur son site Web comme « un leader mondial des logiciels d'analyse de sécurité qui donne aux gouvernements et aux entreprises des renseignements exploitables pour un monde plus sûr.™ ». Elle poursuit en disant : « Nous aidons les organisations de sécurité à analyser et visualiser des ensembles de données disparates à grande échelle pour aider leurs équipes à trouver les aiguilles dans les meules de foin.

La société affirme compter plus de 1 000 clients gouvernementaux et entreprises dans plus de 100 pays.

Cognyte est issue de Verint, une société d'engagement client, en 2021.

Pourquoi nous avons signalé cet incident de données

Les chercheurs de Comparitech analysent régulièrement le Web à la recherche de bases de données exposées contenant des informations personnelles. Lorsque nous trouvons une base de données non sécurisée, nous lançons une enquête pour déterminer qui en est responsable, qui est potentiellement impacté, les types de données exposées et les conséquences possibles pour les utilisateurs finaux.

Une fois que nous avons identifié le responsable des données, nous lui envoyons immédiatement une alerte conformément à notre politique de divulgation responsable. Une fois les données sécurisées et notre enquête terminée, nous publions un article comme celui-ci pour sensibiliser et réduire les dommages causés aux utilisateurs finaux.

Incidents de données antérieurs

Comparitech a publié plusieurs rapports d'incidents de données comme celui-ci, notamment :

• L'éditeur de logiciels British Gas expose 3,6 millions d'adresses e-mail de clients
• L'agence indienne des visas expose 6 500 demandes de visa de voyageur sur le Web
• Le service de test COVID-19 de l’Utah expose les pièces d’identité avec photo et les informations personnelles de 50 000 patients
• Le service de marketing des concessionnaires automobiles Friendemic expose 2,7 millions de dossiers de consommateurs
• La chaîne de gymnases Town Sports expose 600 000 dossiers de ses membres et de son personnel
• Le service téléphonique de la prison Telmate expose les messages et les informations personnelles de millions de détenus
• Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils supprimés
• UFO VPN expose des millions de journaux, y compris les mots de passe des utilisateurs
• 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
• Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
• 250 millions de dossiers de support client Microsoft ont été exposés en ligne
• Plus de 260 millions d'identifiants Facebook ont ​​été publiés sur un forum de hackers
• Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
• Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
• Plus de 2,5 millions de dossiers clients CenturyLink ont ​​été divulgués