La possibilité que Les données pourraient être exposées par inadvertance dans une base de données mal configurée ou non garantie est un cauchemar de confidentialité de longue date qui a été difficile à aborder entièrement. Mais la nouvelle découverte d’un massif de 184 millions de dossiers – notamment des connexions et des informations d’identification d’Apple, Facebook et Google pour les comptes connectés à plusieurs gouvernements – oblige les risques de compilation imprudemment des informations sensibles dans un référentiel qui pourrait devenir un seul point de défaillance.

Début mai, Jeremiah Fowler a découvert que le chasseur de données de données de longue date et la chercheuse en sécurité ont découvert un base de données élastique exposée contenant 184 162 718 enregistrements sur plus de 47 Go de données. En règle générale, dit Fowler, il est en mesure de recueillir des indices sur qui contrôle une base de données exposée à partir de son contenu – des détails sur l’organisation, des données liées à ses clients ou employés, ou à d’autres indicateurs qui suggèrent pourquoi les données sont collectées. Cette base de données, cependant, n’a inclus aucun indice sur qui possède les données ou où elle peut avoir été recueillie.

La gamme pure et la portée massive des détails de connexion, qui incluent des comptes connectés à un large éventail de services numériques, indiquent que les données sont une sorte de compilation, peut-être tenue par des chercheurs enquêtant sur une violation de données ou une autre activité cybercriminale ou détenue directement par des attaquants et volé par l’infostealer.

«C’est probablement l’un des plus étranges que j’ai trouvés depuis de nombreuses années», explique Fowler. « En ce qui concerne le facteur de risque ici, c’est bien plus grand que la plupart des choses que je trouve, car il s’agit d’un accès direct sur des comptes individuels. Il s’agit de la liste de travail des rêves d’un cybercrimiral. »

Chaque enregistrement comprenait une balise d’identification pour le type de compte, une URL pour chaque site Web ou service, puis des noms d’utilisateur et des mots de passe en texte clair. Fowler note que le champ de mot de passe s’appelait «Senha», le mot portugais pour le mot de passe.

Dans un échantillon de 10 000 enregistrements analysés par Fowler, il y avait 479 comptes Facebook, 475 comptes Google, 240 comptes Instagram, 227 comptes Roblox, 209 comptes Discord et plus de 100 comptes Microsoft, Netflix et PayPal. Cet échantillon – juste une infime fraction de l’exposition totale – comprenait également Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress et Yahoo Cognings, entre autres. Une recherche de mots clés de l’échantillon par Fowler a retourné 187 instances du mot «banque» et 57 de «Wallet».

Fowler, qui n’a pas téléchargé les données, dit qu’il a contacté un échantillon des adresses e-mail exposées et a entendu parler de certains qu’il s’agissait de véritables comptes.

Outre les individus, les données exposées ont également présenté des risques potentiels de sécurité nationale, dit Fowler. Dans les 10 000 enregistrements d’échantillons, il y avait 220 adresses e-mail avec les domaines .gov. Celles-ci étaient liées à au moins 29 pays, dont les États-Unis, l’Australie, le Canada, la Chine, l’Inde, Israël, la Nouvelle-Zélande, l’Arabie saoudite et le Royaume-Uni.

Bien que Fowler n’ait pas pu identifier qui avait assemblé la base de données ou d’où les détails de connexion provenaient à l’origine, il a signalé l’exposition aux données au groupe d’accueil mondial, la société d’hébergement à laquelle elle était liée. L’accès à la base de données a été rapidement arrêté, dit Fowler, bien que le groupe d’accueil mondial n’ait répondu au chercheur qu’après avoir été contacté par Wired.