Une  mystérieuse BDD laisserait accessibles des données sur 191 millions  d'Américains

Une mystérieuse BDD laisserait accessibles des données sur 191 millions d’Américains

Une paille...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

31/12/2015 3 minutes
45

Une  mystérieuse BDD laisserait accessibles des données sur 191 millions  d'Américains

Pour finir l'année 2015 en beauté, une base de données contenant des informations personnelles sur pas moins de 191 millions d'américains serait librement accessible. Faute d'avoir pu trouver son propriétaire, cela serait encore le cas maintenant.

Depuis quelques jours, une sombre et mystérieuse histoire de fuite de données agite plusieurs de nos confrères aux États-Unis : une mauvaise configuration d'une base de données laisserait accessibles des données personnelles de près de 191 millions d'Américains inscrits sur les listes électorales, une paille !

Une base de données de 300 Go librement accessible

On y retrouverait les noms, prénoms, genres, numéros de téléphone, date de naissance, affiliation politique, identifiants pour les votes et historique de participation aux dernières élections. Plusieurs de nos confrères comme DataBreaches, CSO Online et Forbes ont testé la véracité des informations détenues par Chris Vickery, avec succès à chaque fois. 

Votants USA fuite
Crédits : DataBreachesChris Vickery affirme qu'il s'agit bien de ses infirmations.

La base de données occuperait pas moins de 300 Go et, selon Chris Vickery qui est à l'origine de cette découverte, elle ne demanderait aucun mot de passe ou identification afin de livrer toutes les informations qu'elle renferme. Problème, elle serait encore librement accessible à l'heure actuelle (à condition de savoir où elle se trouve).

Propriétaire inconnu, Nation Builder réagit officiellement

De plus, la provenance de cette hémorragie n'est pas connue. Plusieurs de nos confrères ont évidemment mené l'enquête auprès de différentes institutions américaines afin de retrouver son propriétaire, sans succès jusqu'à présent. Plusieurs vecteurs pointeraient vers la société Nation Builder, mais cette dernière a démenti être propriétaire de la base de données. Un de ses représentants affirme à nos confrères de DataBreaches que l'adresse IP qui pointe vers la BDD n'est pas une des leurs ni une des clients qu'elle héberge.

Elle ajoute néanmoins que, « bien que la base de données ne nous appartienne pas, il est possible que certaines des informations qu'elle contienne puissent provenir de données que nous mettons à disposition gratuitement pendant des campagnes [...] De ce que nous avons vu, les informations d'électeurs dont il est question sont déjà accessibles publiquement dans chaque état, donc aucune nouvelle information ou donnée privée n'a été publiée dans cette base de données ».

Comme toujours en pareille situation, l'un des principaux risques est lié au phishing : des pirates ayant possession de cette manne de données pourraient tenter de récupérer d'autres informations en se faisant passer par une organisation officielle par exemple. 

45

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une base de données de 300 Go librement accessible

Propriétaire inconnu, Nation Builder réagit officiellement

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (45)




historique de participation aux dernières élections.



J’espère que cela n’indique pas pour qui ils ont voté, ce serait le bouquet…


Non ça c’est perdu d’avance, j’espère qu’ils n’ont pas voté.

C’est plus sur en cas d’enquète des RH.

<img data-src=" />

Désolé pour la démocratie, mais sachez que 66% des gens sont en mode secure…


Ils ont votéLa Tour de Carol !







Obidoub a écrit :



J’espère que cela n’indique pas pour qui ils ont voté, ce serait le bouquet…




J’ai cru comprendre que cette base de donnée contenait des données politiques (pour voter a certaines primaires aux US, il faut être adhérent au parti politique, cette inscription à un ou plusieurs partis serait notée dans la base de données).

Ca donne pas envie d’autoriser les machines à voter tout ça …


pages jaunes 2.0


Bien sur que si, ça permettrait d’automatiser le bouzin pour augmenter le taux de participation. <img data-src=" />


2015 aura été une année mirifique pour les failles <img data-src=" />



De bonnes résolutions pour l’année neuve?


Joli news pour finir l’année, la Saint Sylvestre va se passer douloureusement pour certains DBA je sens.


2016 seras pire.


Appliquer des rustines sur des jambes de bois ne sera d’aucune efficacité…. ce sont tous les protocoles qui sont à revoir…. conçus sur des préceptes datant des années 70 et 80, la sécurité n’en fait pas réellement partie…

Mission impossible ?

Volonté affirmée de laisser des trous pour que les plus forts continuent à espionner les plus faibles ou les moins préparés techniquement et intellectuellement ?

Rupture indispensable ?


Attendez !? Cette base est en accès libre et personne ne sait à qui elle appartient, donc la faille n’est pas corrigée car personne ne sait qui prévenir O_o ???


bien que la base de données ne nous appartienne pas, il est possible

que certaines des informations qu’elle contienne puissent provenir de

données que nous mettons à disposition gratuitement pendant

des&nbsp;campagnes



Donc en gros, si ça se trouve quelqu’un a juste agrégé des données de différentes sources pour ses besoins personnels et l’a mise en ligne en mode open-bar.



&nbsp;Si c’est ça, ce n’est pas une faille, juste de l’open-data sauvage non ?


En vrai, il n’y a pas vraiment de faille.

Ce n’est qu’une compilation de données deja accessibles publiquement.



Centraliser ces données est long, fastidieux, et coute donc de l’argent, mais certaines societés creent ces bases de données pour revendre des services aux partis politiques notamment pendant les campagnes presidentielles.



Il se trouve que l’une de ces bases est accessible gratuitement sur le net, alors que les entreprises specialisées monnayent d’habitude ce service.



&nbsp;Il n’y a aucune faille, tu ne sais pas pour qui les votants ont voté. C’est comme si tu souhaitais consulter les listes electorales en France, c’est librement accessible a n’importe quel élécteur:&nbsphttps://www.service-public.fr/particuliers/vosdroits/F1963



La c’est juste sous forme de base de donnée. Beaucoup de bruit pour pas grand chose en fait.


Bah ça serait à la NSA de trouver le/les auteur(s), de remonter à la source, et de “fermer” les vannes. Après tout il est question de sécurité nationale…



<img data-src=" />








matroska a écrit :



Bah ça serait à la NSA de trouver le/les auteur(s), de remonter à la source, et de “fermer” les vannes. Après tout il est question de sécurité nationale…



<img data-src=" />







Légalement, ça serait plutôt le boulot du FBI.



2e actu en 2 jours basé sur des rumeurs ou avec un manque flagrant d’infos vérifiées à se mettre sous la dent (après Orabge/Bouygues).

Et si, en cette période creuse, on se contentait des bêtisiers, et qu’on reprenait l’info sérieuse, vérifiée et sourcée en 2016 ?

<img data-src=" />

(ma résolution : être moins ronchon, promis, je tiendrai pas)


Selon le darkweb, il s’agirait de ce serveur:&nbsphttps://www.shodan.io/host/52.0.220.221

Inutile d’essayer de se connecter: le serveur MongoDB ne répond plus. Inutile aussi d’essayer à rechercher les données, ceux qui ont trouvé le problème n’auraient pas eu le temps de dumper l’ensemble de la DB.


Oui tu as raison, je m’en suis aperçu trop tard, je ne pouvais plus éditer. Mais c’est vrai, ce serait plutôt le travail du FBI dans ce genre d’incident. Un peu comme DGSI et DGSE en France, chacun à un rôle précis. Mais bon la NSA c’est quand même l’Agence Nationale de Sécurité, et là c’est clairement la sécurité des données des Américains qui est en jeu. Devrait y avoir un boulot conjoint, j’imagine qu’ils sont déjà dessus.



<img data-src=" />


Encore une base mongodb ouverte au monde entier ? XD








matroska a écrit :



Oui tu as raison, je m’en suis aperçu trop tard, je ne pouvais plus éditer. Mais c’est vrai, ce serait plutôt le travail du FBI dans ce genre d’incident. Un peu comme DGSI et DGSE en France, chacun à un rôle précis. Mais bon la NSA c’est quand même l’Agence Nationale de Sécurité, et là c’est clairement la sécurité des données des Américains qui est en jeu. Devrait y avoir un boulot conjoint, j’imagine qu’ils sont déjà dessus.



<img data-src=" />







Le problème légal, c’est le National Security Act de 1947 qui interdit, en principe, à des agences comme la NSA et la CIA d’enquêter sur le territoire des USA.



Après, dans les fait, sauf initiatives illégales qui ont fait de beaux scandales au passage, je ne sais pas si un procureur fédéral peut, via le FBI, demander l’aide technique de la NSA. En pareil cas, pour des interventions high-tech, c’est plutôt l’US Secret Service qui est sollicité.



Oui je vois, tes explications sont correctes de ce que j’en sais aussi. Après, tu penses bien qu’ils ne se sont jamais gênés pour des initiatives internationales de surveillance d’une envergure colossale qui perdurent toujours malgré les interdictions/lois en vigueur…



Et c’est plutôt le United State Cyber Command qui est sollicité me semble-t-il et de ce que j’en ai lu du fait du caractère militaire et ayant le droit sur TOUT ce qui concerne la cyberdéfense et les attaques informatiques.



<img data-src=" />



MongoDB n’as pas vraiment la cote cette année <img data-src=" /> MacKeeper, cette news, plus toutes les autres DB dispo sur internet laissées avec la config par défaut …


“De ce que nous avons vu, les informations d’électeurs dont il est question sont déjà accessibles publiquement dans chaque état, donc aucune nouvelle information ou donnée privée n’a été publiée dans cette base de données ».”



Si c’est vrai, où est le souci, alors ? C’est de l’opendata un peu poussé.








Drepanocytose a écrit :



“De ce que nous avons vu, les informations d’électeurs dont il est question sont déjà accessibles publiquement dans chaque état, donc aucune nouvelle information ou donnée privée n’a été publiée dans cette base de données ».”



Si c’est vrai, où est le souci, alors ? C’est de l’opendata un peu poussé.





C’est une chose que ces données soient accessibles sur des registres une autre qu’elles soient lisibles sur le net ;)









wanou2 a écrit :



C’est une chose que ces données soient accessibles sur des registres une autre qu’elles soient lisibles sur le net ;)





Bah c’est pas ca de l’opendata, justement ?

Des infos publiques (important, la boite dit que c’est le cas ici), donc consultables par tout le monde, et centralisées sur un media qui permette une automatisation du traitement…



Edit : et c’est bien là tout le souci des données publiques. On ne peut pas autoriser des données à être publiques, mais s’émouvoir qu’elles se retrouvent un peu partout.

C’est comme un oiseau : si t’ouvres la cage, tu te n’étonnes pas si le piaf a disparu le lendemain.



L’homme à la cigarette va devoir se séparer de la personne “responsable” qui a laissé fuité cette base ‘fantôme’ !

Mais ça fera un bon sujet pour la saison à venir, en 2016 ^^








Drepanocytose a écrit :



Bah c’est pas ca de l’opendata, justement ?

Des infos publiques (important, la boite dit que c’est le cas ici), donc consultables par tout le monde, et centralisées sur un media qui permette une automatisation du traitement…



Edit : et c’est bien là tout le souci des données publiques. On ne peut pas autoriser des données à être publiques, mais s’émouvoir qu’elles se retrouvent un peu partout.

C’est comme un oiseau : si t’ouvres la cage, tu te n’étonnes pas si le piaf a disparu le lendemain.





L’opendata dont on nous rabâche les oreilles en ce moment concerne des éléments non identifiables et non des informations sur des personnes.



191 millions, sur 320, en enlevant les enfants, c’est pratiquement tout les américains.&nbsp;








Kakuro456 a écrit :



191 millions, sur 320, en enlevant les enfants, c’est pratiquement tout les américains.





ben les enfants ne votent pas

<img data-src=" />





We’re talking about first name, middle name, last name, home address,

mailing address, phone number, date of birth, party affiliation, and

logs of whether or not you voted in primary/general elections all the

way back to 2000. I looked myself up in the Texas table. It’s accurate.



lol.


“les informations d’électeurs dont il est question sont&nbsp;déjà accessibles publiquement dans chaque état, donc aucune nouvelle information ou&nbsp;donnée&nbsp;privée n’a été publiée dans cette base de données”



&nbsp;Bon ben pas de quoi en faire un flanc, ce ne sont que des données publiques, les gens ont qu’à être moins cons et ne pas donner leurs infos.








wanou2 a écrit :



rabâche les oreilles





Joli !



C’est sûr, Laure Tograf est sur le flanc du crocodile <img data-src=" />


Je vois pas l’utilité de la news étant donné que c’est un regroupement de données publiques (indiqué à la fin de l’article). Dans l’absolu je trouve normal que cette bdd soit ouverte à tous.


C’est pas faux, c’est le c^té un peu niouzaclick, parce qu’il faut bien vivre. Quand on voit ce qu’est devenu Numérama, faut se dire qu’on est encore pas trop mal loti ici.



Par contre, je suis pas certain que les gens qui ont remplis le formulaire pour nourrir la base de données étaient bien conscient que tout ça allait se retrouver en accès public. C’est peut-être là que ça coince et donc que ça mérite qu’on en parle un peu.


Des données publiques accessibles publiquement, par…le public. HL3 confirmed ! <img data-src=" />








Quiproquo a écrit :



Joli !





C’est bien comme ça que ça s’écrit non ?&nbsp;



&nbsp;&nbsp;





Exception a écrit :



&nbsp;Bon ben pas de quoi en faire un flanc, ce ne sont que des données publiques, les gens ont qu’à être moins cons et ne pas donner leurs infos.





C’est à dire que ce sont les registres d’élections donc à moins de ne pas être sur les listes électorales, il n’y a pas moyens de ne pas être sur ces listes…







Se7en474 a écrit :



Je vois pas l’utilité de la news étant donné que c’est un regroupement de données publiques (indiqué à la fin de l’article). Dans l’absolu je trouve normal que cette bdd soit ouverte à tous.





&nbsp;ça te dérangerai pas si on avait à libre disposition ta participations aux diverses élections depuis 2000, ton adresse, ton numéro de téléphone ? Moi si.



Ces informations sont librement disponibles sur les listes électorales et les registres d’élections et c’est normal pour la transparence des élections. Par contre, c’est une chose que tout à chacun puissent les consulter en bougeant ses miches à ma mairie de résidence ou aux archives départementales c’en est une autre dans le cadre d’un accès en ligne.









wanou2 a écrit :



Ces informations sont librement disponibles sur les listes électorales et les registres d’élections et c’est normal pour la transparence des élections. Par contre, c’est une chose que tout à chacun puissent les consulter en bougeant ses miches à ma mairie de résidence ou aux archives départementales c’en est une autre dans le cadre d’un accès en ligne.







Même en ligne si c’est public pourquoi pas… mais ca ne devrait être limité qu’aux états-uniens <img data-src=" />

Pour moi le problème il est là: les données sont peut-être disponible au publique mais c’est pas une raison pour les rendre dispo à la planète entière <img data-src=" />









wanou2 a écrit :



C’est bien comme ça que ça s’écrit non ?&nbsp;





Sauf erreur, on nous “rebat les oreilles” ou on nous “rabâche quelque chose”









Poil a écrit :



Encore une base mongodb ouverte au monde entier ? XD





Yep : databreaches.net



Ce qui m’inquiète le plus avec ce genre de choses, c’est surtout l’usurpation d’identité. En France, on est plutôt bien lotis à devoir présenter une pièce d’identité pour retirer des billets de spectacle à la FNAC.&nbsp;



Au Royaume-Uni, quand tu vas voter, pour être sûr que c’est toi, on te demande juste de confirmer ton adresse… Je peux me faire passer pour un de mes potes les doigts dans le nez, si je veux ! Je ne sais pas comment ça se passe aux US, mais ça promet.&nbsp;



Imaginez si la BDD contient aussi le nom du premier animal de compagnie (ou pire, il ne me parait pas impossible de retrouver le nom de jeune fille de votre mère). Le genre de dégâts que ça peut faire est complètement délirant !








Faith a écrit :



Sauf erreur, on nous “rebat les oreilles” ou on nous “rabâche quelque chose”





http://www.cnrtl.fr/definition/rab%C3%A2cher



Rabâcher les oreilles à qqn de qqc. Synon. de rebattre les oreilles



Grâce à toi, j’ai appris une belle tournure qui m’avait échappé jusque là.&nbsp;








Quiproquo a écrit :



Grâce à toi, j’ai appris une belle tournure qui m’avait échappé jusque là.&nbsp;





:) mais je crois que c’est assez spécifique à l’est de la france