Les données de 4 milliards de comptes utilisateurs exposées sur un serveur non protégé

Les données personnelles de 1,2 milliard d’internautes reposaient sur un serveur accessible sur le web sans le moindre mot de passe ou processus d’authentification. Découverte par des chercheurs en cybersécurité chez Data Viper, cette fuite massive comprend des informations en provenance de quatre milliards de comptes utilisateurs: noms, adresses e-mails, numéros de téléphone, données de profils Linkedin, Facebook et Twitter. Les chercheurs ont alerté le FBI et l’accès au serveur a rapidement été coupé, rapporte Wired.

Informations compilées par deux services d'enrichissement de données

Data Viper estime qu’il s'agit de la plus grosse fuite de données depuis une source unique. L’ensemble des données proviennent de People Data Labs et Oxydata, deux entreprises d'enrichissement de données. Ces dernières proposent des services de compilation et de croisement des données personnelles accessibles publiquement. A partir d’une seule information (par exemple l’adresse e-mail), ces services vont compléter le profil d’un utilisateur avec des dizaines voire des centaines d’informations supplémentaires. De quoi permettre aux entreprises de booster leur stratégie CRM, par exemple, en segmentant et en ciblant mieux leur clientèle et leurs prospects. Sur son site, People Data Labs affirme détenir un ensemble de données de parcours professionnels, de contacts, d'informations sociales et démographiques de plus de 1,5 milliard de personnes.

La base de données en libre accès ne contenait pas d’informations sensibles telles que des détails de cartes bancaires. Mais cette fuite reste tout de même préoccupante. «C'est la première fois que je vois tous ces profils de médias sociaux rassemblés et fusionnés avec les informations des profils d'utilisateurs sur une seule base de données et à cette échelle», confie l’un des chercheurs à Wired. De quoi faciliter la tâche à un cybercriminel désirant par exemple usurper des identités ou procéder à un hameçonnage ciblé.

A qui la faute?

Les quatre téraoctets de données découvertes par Data Viper étaient hébergées sur un serveur Elasticsearch. Contactés par la société de cybersécurité, People Data Labs et Oxydata ont nié tout lien avec le serveur en question. Qui a donc hébergé ces données sur ce serveur en libre accès? Il n’existe pour l’heure pas de réponse. Les deux prestataires de data enrichment pourraient avoir été victimes d’un vol de données. A moins qu’un client en commun ait regroupé leurs bases de données respectives sur ce serveur? Une hypothèse tout à fait envisageable, selon les chercheur de Data Viper. Et de se demander: s'il ne s'agit pas d'une brèche, alors qui est responsable de l’exposition de ces données? Cité par Wired, le cofondateur de People Data Labs réfute toute responsabilité. «Une fois qu'un client reçoit des données de notre part ou de la part de tout autre fournisseur de données, les données se trouvent sur leurs serveurs et la sécurité est de leur responsabilité.»

Ces services d'enrichissement de données posent dans tous les cas un risque accru. Et il en va de même du fonctionnement d’ElasticSearch. ZDnet.com rapportait voici une année un cas simlaire, soit la découverte sur un serveur ElasticSearch non protégé d’une base de données de profils compilés par la firme Data & Leads. Le site spécialisé soulignait alors que les réglages d'authentification et les autorisations d’accès ne sont pas des paramètres par défaut de la configuration d’un serveur ElasticSearch.