Plus de 900 sites affichaient les 19 millions de mots de passe en texte brut de 125 millions d’internautes. Si le quart a corrigé la faille provoquée par des instances Firebase mal configurées, le reste n’a pas réagi.
- Selon des chercheurs, 916 sites ont mal configurés leurs instances Firebase
- Un quart, prévenu, a corrigé le problème mais pas le reste
- En tout, ce sont 125 millions d’internautes qui ont été exposés
- Parmi les données privées, on trouve 19 millions de mots de passe en texte brut
Les données privées des internautes, c’est la nouvelle mine d’or des pirates. Plus elles sont sensibles, plus elles valent de l’or comme celles dérobées auprès de France Travail (ex-Pôle Emploi) ou encore de deux mutuelles françaises. Selon une enquête partagée par Bleeping Computer, les données privées de 125 millions d’internautes ont été exposées par 900 sites. On retrouve 19 millions de mots de passe en texte brut.
À lire > Voici quels sont les mots de passe les plus piratés
119 millions de mots de passe visibles en texte brut
Ce sont trois chercheurs en cybersécurité qui ont mis le doigt sur cette fuite de grande ampleur. La raison ? Des instances Firebase mal configurées. 916 sites, plus exactement, ont bâclé la configuration de cette plateforme de Google permettant notamment de mettre en place un service d’authentification. Résultat, l’accès en lecture seule aux bases de données. Les pirates n’ont qu’à se servir en consultant les données privées des utilisateurs.
En tout, ce sont les données de 125 millions d’internautes qui pouvaient être consultées librement. On trouve des éléments très sensibles parmi lesquels :
- Nom
- Prénom
- Mot de passe (19 millions en texte brut)
- Numéro de téléphone (33 millions en texte brut)
- Information de facturation
- Données bancaires
Pas besoin de vous faire un dessin. Si un internaute utilise le même mot de passe d’un site à l’autre, mener des piratages est alors un jeu d’enfant pour les personnes malveillantes qui mettraient la main sur ces données.
Les chercheurs ont découvert la faille en étudiant l’instance de Firebase de Chattr. Les 916 sites concernés par ce manque de protection ont été contactés mais seulement le quart a agi. Le reste n’a pas donné suite.
Les entreprises majoritairement responsables des fuites de données
Cet événement nous confirme quelque peu la récente étude de Proofpoint. On y apprend que dans 88% des fuites de données, ces événements sont attribuables à 1% aux internautes. Pour le reste, ce sont les entreprises qui ne sont pas assez sécurisées. Les sociétés sont invitées à mettre en place de meilleures mesures pour protéger les utilisateurs.
Dans le cas de la récente fuite de données de France Travail (ex-Pôle Emploi), des internautes alertaient déjà en février de failles très graves. Pourtant, la plateforme n’a jamais répondu à ces signalements qui auraient pu éviter le pire. Une grave défaillance, pour faire simple.
Source : Bleeping Computer
