Est-ce mal de collecter les informations publiques de tout le monde et de les mettre en un seul endroit?
À tout le moins, c'est extrêmement effrayant.
Vendredi, deux chercheurs en sécurité ont rapporté avoir découvert une base de données de 4 téraoctets contenant les enregistrements de 1,2 milliard de personnes.
La même base de données a également été exposée ouvertement sur Internet sans aucune sécurité.
"Les données divulguées contenaient des noms, des adresses e-mail, des numéros de téléphone, des informations de profil LinkedIn et Facebook", a écrit le chercheur Vinny Troia dans un article de blog à propos des résultats.
Troia poursuit en disant que la découverte est "l'une des plus grandes fuites de données d'une seule organisation source de l'histoire".
Cependant, les données exposées n'étaient pas exactement des informations privées; une grande partie a en fait été extraite d'Internet.
Après avoir découvert la base de données, Troia et le chercheur en sécurité Bob Diachenko a retracé la mine d'informations jusqu'à deux sociétés appelées People Data Labs (PDL) et Oxydata, qui se spécialisent dans l'analyse et le marketing.
Les deux détiennent collectivement également des détails démographiques sur plus d'un milliard de personnes.
Par exemple, PDL possède plus de 400 millions de numéros de téléphone et un milliard d'adresses e-mail personnelles.
Dans certains cas, PDL a récupéré les données des profils Web et des réseaux sociaux.
Dans d'autres cas, il a acheté les informations à des courtiers en données tiers, qui peuvent se spécialiser dans la collecte des données de contact des personnes à partir de sources telles que des archives publiques ou des enquêtes.
Les deux sociétés offrent un accès aux enregistrements pour aider les entreprises à se connecter avec des clients potentiels.
Oxydata prétend même connaître les antécédents scolaires et professionnels des gens.
Mais que se passe-t-il si ces mêmes données tombent entre de mauvaises mains?
C'est pourquoi Diachenko et Troia trouvent la base de données de 4 To si dérangeante.
Bien sûr, il peut avoir été créé à des fins de marketing.
Mais les informations ont été recueillies de manière à ce qu'il soit trop facile pour quelqu'un de rechercher et de consulter le profil détaillé d'une personne sur plusieurs années.
Par exemple, Troia mentionne la base de données contenant un numéro de téléphone fixe AT&T apparemment enregistré à son nom dans le cadre d'un forfait TV il y a dix ans.
Pour autant que les chercheurs puissent le dire, la base de données n'appartenait pas non plus à PDL ou à Oxydata, mais à un utilisateur anonyme.
Pour une raison quelconque, l'acteur mystérieux tirait les dossiers personnels des deux sociétés, puis les stockait sur ce qui s'est avéré être un Elasticsearch hébergé sur Google Cloud.
Recommandé par nos rédacteurs
"S'il s'agissait d'un client qui avait un accès normal aux données de PDL, cela indiquerait que les données n'ont pas été réellement" volées ", mais plutôt mal utilisées", a écrit Troia.
"Cela ne soulage malheureusement aucun des 1,2 milliard de personnes qui ont vu leurs informations exposées."
La bonne nouvelle est que les enregistrements exposés ne sont plus en ligne.
Troia a dit Filaire la base de données a été fermée après avoir informé le FBI de son existence.
Néanmoins, l'incident souligne à quel point les données personnelles des personnes peuvent facilement circuler sur Internet sans aucune protection en place.
Dans le passé, Troia et Diachenko ont découvert des cas répétés d'entreprises exposant accidentellement des bases de données en ligne contenant des tonnes d'informations sur les clients.
"Si ce n'était pas une violation, alors qui est responsable de cette exposition?" Troia demande dans son article.
PDL et Oxydata n'ont pas immédiatement répondu à une demande de commentaire.