Rapport: une fuite de données expose 80 M d'américains

L’équipe de recherche de vpnMentor a découvert l’existence d’un piratage touchant 80 millions de foyers américains.

Les hacktivistes réputés Noam Rotem et Ran Locar ont découvert une base de données non protégée, qui affecte jusqu’à 65 % des foyers américains.

Hébergée par un serveur cloud de Microsoft, la base de données de 24 GB contient le nombre de personnes vivant dans chaque foyer, ainsi que leurs noms complets, leurs statuts maritaux, la fourchette de leur revenus, leur âge, et bien plus encore.

Les informations incluses dans la base de données

Vous trouverez ci-dessous une capture d’écran typique de cette base de données :

La base de données semble recenser les foyers plutôt que les individus. Elle contient :

•  Les adresses complètes avec le numéro et le nom de la rue, la ville, la région, l’état et le code postal
•  La longitude et la latitude exactes
•  Les noms complets, avec nom prénom et initiale des deuxièmes prénoms
•  Âge
•  Date de naissance

Certaines des autres informations incluses sont codées (avec ce que nous pensons être une valeur numérique assignée en interne). Elles incluent :

•  Le poste
•  Le genre
•  Le statut marital
•  Le revenu
•  Le statut propriétaire/locataire
•  Le type de logement

Les seuls véritables indices indiquant que cette base de données appartient à un genre de service sont la présence d’un « code de membre » et d’un « score » à chaque entrée.

Les dangers de la divulgation de ces informations

Ce n’est pas la première fois qu’une grosse base de données fuit. Toutefois, nous pensons que c’est la première fois qu’une fuite de cette taille contient les noms, les adresses et les revenus des gens.

Cette base de données ouverte est une véritable mine d’or pour les voleurs d’identité et autres cyber criminels. Voici comment :

Les cyber-attaques

Un accès à votre nom complet peut aider les hackers à deviner votre adresse e-mail. La plupart des gens utilisent nom.nomdefamille@gmail.com pour leur adresse e-mail. Si c’est un système pratique, il vous rend également facile à identifier.

Les arnaques de type Phishing peuvent prendre de nombreuses formes, et le ransomware est l’une des plus dangereuses. Cela arrive souvent lorsque des liens dangereux sont intégrés à des e-mails, les ouvrir infecte votre ordinateur. La seule manière de supprimer un ransomware est de payer, et puisqu’ils ont accès à vos revenus, les criminels sauront combien ils peuvent vous soutirer.

Les dangers du monde réel

Votre nom et votre ville suffisent pour lancer une recherche internet complète. Google donnera accès à tous les liens contenant votre nom, y compris ; les sites d’entreprise, les sites web, les blogs ou sites personnels, les profils de réseaux sociaux comme Facebook, Instagram, et Twitter, et la presse locale dans laquelle vous pouvez apparaître.

Partons du principe que vous n’avez pas mis à jour les paramètres de sécurité de votre compte Facebook depuis un moment et que vos publications sont visibles même pour les gens avec qui vous n’êtes pas ami. Tout ce que vous publiez apparaît ouvertement sur internet, y compris vos photos de vacances, publiées ce matin. Les balises géographiques montrent que vous êtes à des milliers de kilomètres de chez vous.

Et puisque votre adresse complète est dans la base de données, les criminels savent où vous vivez, et comme vous êtes loin de chez vous, ils savent que votre maison est probablement vide. Ils voient également vos revenus, et peuvent donc évaluer la valeur de ce qu’il y a chez vous. Vous venez de devenir une proie idéale aux attaques.

Mais ce n’est pas tout : votre âge se trouve lui aussi dans la base de données. Les criminels, en ligne ou dans la vraie vie, peuvent identifier les gens les plus vulnérables en les filtrant par revenus, et utiliser les informations contenues dans la base de données pour attaquer et exploiter les gens, par téléphone, par e-mail ou en personne.

Ce scénario n’est que la partie émergée de l’iceberg. Les adresses peuvent facilement mener aux numéros de téléphone, ce qui peut mener à des attaques phishing ciblées. Les dates de naissance et les codes postaux sont des réponses fréquentes aux questions de sécurité. Et votre longitude et votre latitude exactes permettent aux hackers de cibler et de surveiller votre maison.

Bien évidemment, il existe des moyens de rester en sécurité, en ligne et dans le monde réel. Vous pouvez par exemple sécuriser votre maison avec des alarmes, et votre connexion internet avec un VPN de haute qualité. Cela vous aidera à rester en sécurité, où que vous soyez.

Comment nous avons découvert la fuite

Notre équipe de recherche est actuellement en train de s’attaquer à un énorme projet de cartographie du web. Ils utilisent les scans de port pour examiner les blocages d’IP connus. Cela révèle des failles dans les systèmes web, qu’ils examinent ensuite à la recherche de vulnérabilités et de fuites de données.

En général, les chercheurs ont une idée d’où vient la fuite. Ensuite, ils examinent la base de données pour confirmer son origine.

Nous contactons ensuite le propriétaire de la base de données pour lui faire prendre connaissance de la fuite, et quand c’est possible, prévenir les gens affectés. Cela aide à créer un internet plus sûr et mieux protégé.

Si nous avons mené l’enquête sur la base de données en ligne, nous ne l’avons pas téléchargée. Nos chercheurs ont estimé que la télécharger constituerait un manquement déontologique, puisqu’ils possèderaient de manière illégale des ensembles de données personnellement identifiables, et sans le consentement des personnes visées.

En quoi cette fuite de données est différente

Cette fois-ci, c’est un scénario inhabituel. La base de données découverte par notre équipe contient des informations identifiables concernant plus de 80 millions de foyers des États-Unis. Comme la plupart des foyers contiennent plus d’un membre, la base de données pourrait avoir un impact direct sur des centaines de millions d’individus.

vpnMentor fait un appel au public pour aider à identifier cette base de données et pour réparer la fuite.

Contrairement aux fuites que nous avons découvertes précédemment, cette fois-ci, nous ne savons pas du tout à qui appartient cette base de données. Elle est hébergée sur un serveur cloud, ce qui signifie que l’adresse IP qui y est associée n’est pas forcément connecté à son propriétaire.

Ces données incluent des saisies uniformes concernant plus de 80 millions de foyers, ce qui rend son origine difficile à déterminer. Le seul indice que nous avons trouvé concerne l’âge des gens : sur des milliers de saisies, nous n’avons trouvé personne de moins de 40 ans.

Étonnamment, une valeur est assignée aux revenus des gens (toutefois, nous ne savons pas s’il s’agit d’un code appartenant à un système de classement interne, d’une fourchette relative à l’imposition ou un véritable montant).

Cela nous indique que la base de données appartient probablement à une entreprise d’assurance, de mutuelle ou de crédit immobilier. Toutefois, les informations qu’on pourrait s’attendre à trouver dans une base de données appartenant à des courtiers ou à des banques sont absentes. Par exemple, aucun numéro de compte ou de souscription, aucun numéro de sécurité sociale et aucun type de payement n’apparaissent.

Aidez-nous à identifier cette base de données

Nous voulons contacter le propriétaire de cette base de données pour qu’il sache que ces enregistrements de données exposent des millions de foyers.

Aidez-nous à résoudre cette énigme :

Quel service est utilisé par 80 millions de foyers aux États-Unis, et seulement aux États-Unis, par des gens de plus de 40 ans uniquement ? Quel service collecterait votre statut de propriétaire/locataire et le type de votre logement, mais pas votre numéro de sécurité sociale ? Et quel service enregistre le fait que vous soyez marié•e mais pas le nombre d’enfants que vous avez ?

Si vous pouvez nous aider à identifier cette base de données ou si vous savez à qui elle appartient, merci de nous contacter à info@vpnmentor.com. Les 80 millions de familles listées méritent leur confidentialité, et nous avons besoin de votre aide pour les protéger.

Nos derniers reportages peuvent vous intéresser :

Nous avons récemment révélé que Gearbest subissait une énorme fuite de données, et que plus de 25 % des entreprises Fortune 500 avaient été piratées. Vous pourriez aussi vouloir lire notre rapport sur les fausses applis utilisées en Iran pour surveiller les utilisateurs, notre rapport sur les fuites VPN et notre rapport sur les statistiques de la confidentialité des données.

Veuillez partager cet article sur Facebook ou sur Twitter afin que d’autres professionnels de la sécurité puissent nous aider à identifier et désactiver cette fuite.