Un chercheur ukrainien, Bob Diachenko, a découvert une base de données contenant 800 millions d’emails remplis de données privées.
Vous avez frémi d’angoisse devant Collection #1, la base de données piratées contenant 773 millions d’adresses mail ? Vous allez adorer la suite ! Le chercheur ukrainien en cybersécurité Bob Diachenko a récemment découvert un fichier de base de données en accès libre de 150 Go – ni protégé ni crypté – contenant pas moins de 800 millions d’adresses électroniques, et les informations personnelles y étant liées.
Sur son blog (lien en anglais), Bob Diachenko explique que la base de données était scindées en plusieurs dossiers, dont le plus important était appelé mainEmailDatabase. Ce dossier renfermait les trois fichiers incriminés : Emailrecords qui recense 798 171 891 entrées, emailWithPhone qui contient 4 150 000 entrées et businessLeads qui affiche 6 217 358 entrées.
Liée à une adresse électronique, chaque entrée pouvait fournir différents renseignements privés : nom, prénom, âge, genre, ville, numéro de téléphone, comptes de réseaux sociaux…
Après enquête, Diachenko a découvert que le propriétaire de cette base de données ouverte à tous les vents était le service de vérifications d’email Verifications.io. Désormais inaccessible, ce site permettait à des entreprises de vérifier si les adresses contenus dans des listings étaient des adresses actives. Lorsqu’une entreprise fournissait une liste d’adresses au service, celle-ci atterrissait dans la base de données. Pour le plus grand bonheur de tous les pirates qui avaient découvert cette manne inespérée.
Point encore plus inquiétant, c’est que les données piratées différent sensiblement de celles découvertes dans Collection #1. Bob Diachenko a contacté Troy Hunt – le chercheur en sécurité à l’origine de la découverte de Collection #1 et créateur du site Have I Been Pwned? – et les deux hommes ont conclu que s’il y avait des points communs, les données étaient assez différentes pour affirmer qu’il s’agit de deux fuites bien distinctes. D’autant plus que 35% des adresses électroniques présentes dans le fichier n’avaient jamais été répertoriées sur Have I Been Pwned(lien en anglais).
Plus que jamais, il serait temps de changer vos mots de passe sur vos comptes les plus utilisés ou les plus sensibles…