Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Des informations personnelles sur 1,2 milliard de personnes traînaient sur Internet

Les chercheurs en cybersécurité Bob Diachenko et Vinny Troia ont trouvé un serveur Elasticsearch contenant 4 To de données librement accessibles (il est désormais inaccessible). Ils détaillent leur trouvaille dans ce billet de blog

Dans le lot, 1,2 milliard d'utilisateurs uniques étaient référencés, dont 622 millions d'adresses emails. On y trouvait également des noms, numéros de téléphone et des informations provenant de profils LinkedIn et Facebook.

Les informations proviendraient de deux sociétés différentes : People Data Labs et OxyData.Io. S'il n'est pas question de mots de passe ni de données bancaires, ces données personnelles peuvent permettre de lancer des attaques par phishing.

Have i been pwned a été mis à jour avec les 622 millions d'adresses emails, ce qui en fait la quatrième fuite la plus importante (sur les emails) recensée par le service.

12 commentaires
Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 25/11/19 à 09:17:49

C'est ça qui est cool avec les tiers "pour votre bien", c'est que tu peux être ok pour que LinkedIn utilise tes infos, et paf tu rejoins le monde de l'opendata :transpi:

Avatar de INirvana Abonné
Avatar de INirvanaINirvana- 25/11/19 à 09:45:18

J'ai reçu une alerte de Mozilla Monitor sur cette fuite.
Je ne comprends pas trop d'où viennent les données puisque je n'utilise ni sur FB ni sur Linkedin le mail concerné ...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 25/11/19 à 10:14:22

On ne sait pas à qui apprtient ce serveur ? :ooo:

Avatar de jeryagor Abonné
Avatar de jeryagorjeryagor- 25/11/19 à 10:19:23

INirvana a écrit :

J'ai reçu une alerte de Mozilla Monitor sur cette fuite.
Je ne comprends pas trop d'où viennent les données puisque je n'utilise ni sur FB ni sur Linkedin le mail concerné ...

Ils mentionnent aussi Twitter et Github sur le blog.

Avatar de monpci INpactien
Avatar de monpcimonpci- 25/11/19 à 10:19:23

Quand tu as fait quelque KYC sur les site de cryptos tu as toujours un doute ...

Avatar de Equilibrium Abonné
Avatar de EquilibriumEquilibrium- 25/11/19 à 11:15:31

Pour le moment nous n'avons aucune idée précise et vérifiable de l'entité à qui appartient ce service ElasticSearch hébergé chez Google Cloud, et l'une des solutions est de déposer plainte auprès de la CNIL qui pourra mener des investigations dans le cadre de la coopération internationale. Le FBI américain pourrait de son côté mener le plus rapidement ces investigations (Google Cloud est une boîte US).

Nous devrions également nous regrouper pour lancer une action en justice et faire un exemple pour ces data agrégateur/data broker qui font le commerce de nos données. Vu le nombre de personnes concernés, ccela pourrait avoir un énorme impact.

 

Édité par Equilibrium le 25/11/2019 à 11:16
Avatar de Skywa Abonné
Avatar de SkywaSkywa- 25/11/19 à 11:38:56

Et le fichier qui contient 3 Milliards d identifiants dont 6 Million français ....
https://www.zataz.com/information-trois-milliards-de-donnees-diffusees-par-un-pi...

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 25/11/19 à 11:39:57

Génial, 21e fuites pour mon mail.

Avatar de Equilibrium Abonné
Avatar de EquilibriumEquilibrium- 25/11/19 à 12:14:05

Pour compléter ma précédente intervention, voici une liste de questions et de responsabilités à éclaircir :

- Google Cloud, qui est ici sous-traitant dans le traitement des données a-t-il rempli ses obligations de sécurité et d'information vis-à-vis du client responsable de traitement ? De même pour Amazon Web Service sur lequel est basé l'API de People Data Labs ? - Quel est le client de Google Cloud responsable ou responsable conjoint de traitement ? - Comment a-t-il acquis ces données ? - Comment les sociétés People Data Labs et Oxydata dont proviennent certaines de ces données ont-elles obtenus ces données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Par quelles techniques ? Auprès de qui ? Ont-elles respecter leurs obligations juridiques et de sécurité ? -  Comment certaines de ces données personnelles qui semblent provenir de plateformes comme LinkedIn, Facebook, Twitter ou Github se sont retrouvés dans cette base ? Ces sociétés ont-elles mises en place les mesures nécessaires pour assurer la sécurité de ces données et éviter par exemple le scrapping ? Ont-elles partagés, vendus ou transférés ces données personnelles avec les deux sociétés People Data Labs et Oxydata ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ? - Quelles sont les autres sociétés impliqués dans cette collecte de données personnelles ? Avaient-elles une base juridique valide pour les collecter ? Ont-elles respecter leurs obligations juridiques et de sécurité ? - Comment les sociétés People Data Labs et Oxydata ont sécurisé ces données ? Comment en est-on arrivé à cette brèche de sécurité et fuite de données ? Ces questions sont essentielles et les autorités de protection des données, ainsi que les autorités judiciaires de part le monde doivent y répondre et juger de cette affaire SCANDALEUSE.

Cambridge Analytica n'était qu'un arbre qui cache la forêt que l'on entraperçoit dans cette affaire.

Édité par Equilibrium le 25/11/2019 à 12:18
Avatar de Cqoicebordel Abonné
Avatar de CqoicebordelCqoicebordel- 25/11/19 à 16:52:33

J'avais fait une vague recherche sur Oxydata ou PDL, je sais plus, et y'avais pleins d'entreprises affiliées, dont eBay. Ca pourrait donc aussi venir de là.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2