« Chaque violation de données jamais signalée ou vendue a été soigneusement collectée par un acteur inconnu et laissée dans une instance mal configurée », a fait savoir le chercheur en sécurité Bob Diachenko de SecurityDiscovery. Fruit d'un travail conjoint avec Cybernews, la découverte d'un leak géant incluant 26 milliards d'enregistrements dans des bases de données de 12 To a de quoi étonner par son ampleur. Les chercheurs pensent qu'un acteur malveillant ou bien un revendeur de données piratées pourrait bien être à la manoeuvre.
« Cet ensemble de données est extrêmement dangereux, car des cybercriminels pourraient utiliser les informations agrégées pour un large éventail d'attaques, y compris de l'usurpation d'identité, des systèmes sophistiqués d'hameçonnage, des cyberattaques ciblées et de l'accès non autorisé à des comptes personnels et sensibles. », explique Cybernews. Cette compilation comprend également des documents de diverses organisations gouvernementales aux États-Unis, au Brésil, en Allemagne, aux Philippines, en Turquie et dans d'autres pays.
Des services web aux données déjà leakées
Les bases de leaks sont nombreuses mais celle-ci se démarque cependant par sa volumétrie bien qu'elles puissent être composées de données anciennes et périmées sachant que des doublons sont hautement de la partie. « Cependant, les données divulguées contiennent bien plus d'informations que les simples identifiants - la plupart des données exposées sont sensibles et, par conséquent, précieuses pour les acteurs malveillants », poursuit Cybernews.
Le podium des enregistrements leakés dans cette découverte est Tencent (1,5 Md d'enregistrements), Weibo (504 millions), MySpace (360 millions), Twitter (281 millions) ou encore Deezer (258 millions), Linkedin (251 millions), Adobe (153 millions)... Des services déjà bien connus pour avoir fait l'objet de précédentes fuites ou scraping massifs.