Pour finir l'année 2015 en beauté, une base de données contenant des informations personnelles sur pas moins de 191 millions d'américains serait librement accessible. Faute d'avoir pu trouver son propriétaire, cela serait encore le cas maintenant.
Depuis quelques jours, une sombre et mystérieuse histoire de fuite de données agite plusieurs de nos confrères aux États-Unis : une mauvaise configuration d'une base de données laisserait accessibles des données personnelles de près de 191 millions d'Américains inscrits sur les listes électorales, une paille !
Une base de données de 300 Go librement accessible
On y retrouverait les noms, prénoms, genres, numéros de téléphone, date de naissance, affiliation politique, identifiants pour les votes et historique de participation aux dernières élections. Plusieurs de nos confrères comme DataBreaches, CSO Online et Forbes ont testé la véracité des informations détenues par Chris Vickery, avec succès à chaque fois.
La base de données occuperait pas moins de 300 Go et, selon Chris Vickery qui est à l'origine de cette découverte, elle ne demanderait aucun mot de passe ou identification afin de livrer toutes les informations qu'elle renferme. Problème, elle serait encore librement accessible à l'heure actuelle (à condition de savoir où elle se trouve).
Propriétaire inconnu, Nation Builder réagit officiellement
De plus, la provenance de cette hémorragie n'est pas connue. Plusieurs de nos confrères ont évidemment mené l'enquête auprès de différentes institutions américaines afin de retrouver son propriétaire, sans succès jusqu'à présent. Plusieurs vecteurs pointeraient vers la société Nation Builder, mais cette dernière a démenti être propriétaire de la base de données. Un de ses représentants affirme à nos confrères de DataBreaches que l'adresse IP qui pointe vers la BDD n'est pas une des leurs ni une des clients qu'elle héberge.
Elle ajoute néanmoins que, « bien que la base de données ne nous appartienne pas, il est possible que certaines des informations qu'elle contienne puissent provenir de données que nous mettons à disposition gratuitement pendant des campagnes [...] De ce que nous avons vu, les informations d'électeurs dont il est question sont déjà accessibles publiquement dans chaque état, donc aucune nouvelle information ou donnée privée n'a été publiée dans cette base de données ».
Comme toujours en pareille situation, l'un des principaux risques est lié au phishing : des pirates ayant possession de cette manne de données pourraient tenter de récupérer d'autres informations en se faisant passer par une organisation officielle par exemple.
