Blog

Rapport : dossiers personnels détaillés de 188 millions de personnes découverts sur le Web

Battement du record de 188 m



Nous avons découvert une base de données contenant près de188 millions d'enregistrementsde données personnelles exposées sur le web et accessibles à toute personne disposant d’une connexion internet.

Comparitech, en collaboration avec le chercheur en sécurité Bob Diachenko, a découvert la base de données MongoDB exposée le 18 juin 2019.



Certains des documents semblent provenir respectivement de Pipl.com et de LexisNexis, des sites Web de recherche de personnes et de recherche juridique. Les enregistrements provenant de Pipl.com, la majeure partie des données, contenaient tout ou partie des informations suivantes :

  • Nom et prénom
  • Alias ​​et ancien nom
  • Adresse e-mail
  • Adresse physique
  • Date de naissance
  • Notes de tribunal et de faillite
  • Numéro de téléphone
  • Liens vers les profils de réseaux sociaux
  • Affiliations politiques
  • Course
  • Religion
  • Compétences
  • Genre
  • Employeurs passés et présents
  • Automobiles et biens immobiliers

thedatarepo api exposition pipl



Environ 800 000 documents semblent provenir de LexisNexis, un moteur de recherche juridique. Ces dossiers comprenaient les noms, anciens prénoms, adresses, sexe, statut parental, une courte biographie, les membres de la famille, des courriels expurgés et des informations sur les voisins de la personne, y compris les noms complets, les dates de naissance, les scores de réputation et les adresses.

Elle a été indexée pour la première fois par les moteurs de recherche le 17 juin. Nous avons retracé la base de données jusqu'à un dépôt Github pour une API de recherche de personnes appelée thedatarepo. Nous avons rapidement informé le propriétaire de la base de données dès qu'il a pu déterminer à qui elle appartenait. Le propriétaire a ensuite fermé l'accès le 3 juillet 2019.

exposition des données thedatarepo
Cette capture d'écran a été prise au début de notre enquête, la base de données a ensuite été mise à jour et le nombre d'enregistrements est passé à 188 millions.

Nous ne savons pas si quelqu'un d'autre a obtenu un accès non autorisé à la base de données.

Quelles données ont été exposées ?

Thedatarepo possède son propre domaine Web, mais le site Web est en panne au moment de la rédaction. À en juger par les champs « dataSource » dans la base de données, il semble que les créateurs de l'API aient récupéré ou acheté les données auprès de Pipl et LexisNexis, etil semble peu probable que Pipl et LexisNexis aient réellement été violés.La plupart des informations personnelles trouvées grâce à ces outils de recherche sont accessibles au public, même si les utilisateurs normaux ne peuvent consulter qu'un seul enregistrement à la fois.

Le dépôt Github a donné des exemples de la façon dont l'API aurait pu être utilisée, par exemple pour rechercher des personnes par leur nom ou la voiture qu'elles possèdent. Il a été mis à jour pour la dernière fois le 18 juin 2019. Il répertorie un e-mail permettant aux utilisateurs de demander « des achats de données en masse et/ou l'accès à plus de données/demandes ».

Les courtiers en données comme Pipl obtiennent des informations personnelles auprès de diverses sources publiques et exclusives. À cette fin, ils ne demandent pas de consentement et n’informent pas les détenteurs de dossiers qu’ils font partie d’une base de données. Si vous vivez aux États-Unis, il y a de fortes chances que vous puissiez être trouvé sur des sites Web de courtiers de données et de recherche de personnes comme Pipl, ZabaSearch, WhitePages.com, Wink et PeekYou.

page d

Malheureusement, Pipl ne facilite pas la suppression de vos informations personnelles. Se déchargeant de toute responsabilité, Pipl États il regroupe uniquement des informations provenant de sources tierces. Si vous souhaitez supprimer une information de Pipl, vous devez accéder à la source d'origine et la supprimer de là. Mais comme Pipl est désormais un service payant (il n’offre plus d’outil de recherche de personnes gratuit), les victimes ne peuvent pas consulter leurs propres informations ni leur origine.

Les bases de données exposées représentent un risque énorme

Les bases de données d'informations personnelles exposées sur le Web représentent un risque énorme, explique Diachenko, qui collabore avec Comparitech dans le cadre de recherches sur la sécurité. Non seulement les données personnelles risquent d’être volées ; la base de données elle-même peut être détournée :

« J'ai déjà signalé que le manque d'authentification permettait l'installation de malwares ou de ransomwares sur les serveurs MongoDB. La configuration publique permet aux cybercriminels de gérer l'ensemble du système avec tous les privilèges administratifs. Une fois le malware en place, les criminels pourraient accéder à distance aux ressources du serveur et même lancer une exécution de code pour voler ou détruire complètement toutes les données enregistrées sur le serveur.

Les personnes dont les informations ont été divulguées pourraient être exposées à un risque de phishing ciblé et de fraude d'identité. Nous recommandons d'apprendre comment repérer les e-mails de phishing pour rester en sécurité.

LexisNexis a été violé à deux reprises dans le passé, une fois en 2005 et une fois en 2013. La première divulgué 310 000 enregistrements contenant des informations personnelles, notamment des noms, des adresses, des numéros de sécurité sociale et des numéros de permis de conduire. LexisNexis n'a pas divulgué le nombre de documents violé en 2013 , mais ces données contenaient apparemment des SSN, des rapports de base et d'autres détails sur des millions d'Américains.

Comparitech mettra à jour cet article si nous découvrons plus de détails à signaler.

^