Le chercheur en cybersécurité, Jeremiah Fowler, vient de publier un rapport sur sa découverte d'une base de données en ligne massive et non protégée de millions de données sensibles qui ont été stockées dans un fichier de texte brut absente de toute exigence de mot de passe ou cryptage.

Selon ZDNET, les 184 millions d'identifices de compte uniques que Fowler ont trouvés incluent des noms d'utilisateur, des mots de passe, des e-mails et des URL pour les applications et les sites Web comme Google, Microsoft, Apple, Facebook, Instagram et Snapchat, entre autres.

Les informations encore plus sensibles dans la base de données – en particulier les informations d'identification pour les comptes bancaires et financiers, les plateformes de santé et les portails gouvernementaux.

L'analyse de Fowler a déterminé que ces données ont été capturées par un certain type d'infosteller, ce qui signifie que les individus exposés et les comptes impliqués seront vulnérables à une multitude d'arnaques et de comportements malveillants des acteurs de menace tels que les attaques de phishing.

Fowler a déclaré qu'il ne savait pas si cette base de données était créée légitimement ou malveillante en premier lieu, car le fournisseur d'hébergement ne divulguerait pas le nom du propriétaire, bien qu'il l'ait retiré de l'accès public.

Fowler a directement contacté les personnes répertoriées dans le fichier, leur a dit qu'il recherchait une violation de données et a confirmé que les informations contenues dans la base de données étaient correctes, des informations de compte valides.

En outre, il a déclaré que bien que qui possède la base de données est à blâmer pour l'incident, les utilisateurs qui traitent leurs comptes de messagerie comme le stockage cloud gratuit se laissent ouverts à la sécurité et aux risques de confidentialité en ayant des années de documents sensibles tels que les formulaires fiscaux, les dossiers médicaux, les contrats ou les mots de passe facilement disponibles pour les cybercriminaux qui peuvent accéder à leurs comptes de messagerie.

Comment rester en sécurité

Un homme qui cherche à utiliser un ordinateur de bureau

Les personnes impliquées dans une violation de la sécurité de cette nature sont soumises à une variété de nouvelles menaces, surtout s'ils ont réutilisé le même mot de passe, ont utilisé des mots de passe faibles ou ont des comptes dans une position de gouvernement ou une autre importance.

Comme Fowler, nous vous recommandons d'utiliser toujours des mots de passe solides et uniques qui incluent plusieurs caractères supérieurs et minuscules ainsi que des chiffres et des caractères spéciaux, que vous modifiez et mettez fréquemment des mots de passe et que vous ne réutilisez jamais les mots de passe. Il est souvent le plus facile d'utiliser un gestionnaire de mots de passe pour garder tous vos mots de passe privés et sûrs, ou si possible, utiliser une clé de passe biométrique. Dans la mesure du possible, activez l'authentification à deux facteurs ou multi-facteurs sur vos comptes.

Gardez un œil sur tous vos comptes, et si vous avez l'impression que vous avez peut-être été ou sachez que vous avez été victime d'une violation de données, consultez vos comptes sur des sites comme Heebeenpwned ou un vérificateur de fuite de mot de passe. Vous devez également vous assurer que votre logiciel antivirus est défini pour scanner régulièrement votre ordinateur; Ces analyses peuvent être définies pour s'exécuter automatiquement lorsque vous dormez ou lorsque vous n'utilisez pas votre machine afin que vous ne soyez pas interrompu.

Enfin, connaissez les signes des escroqueries par phishing et des attaques d'ingénierie sociale afin que vous puissiez les surveiller – vous êtes toujours la dernière ligne de défense en ce qui concerne les logiciels malveillants, et les acteurs de menace prendront toutes les informations qu'ils ont pour essayer de vous inciter à cliquer sur un lien ou à télécharger une application ou un logiciel qui semble légitime mais qui est sécrétion de code malveillant.

Ne cliquez jamais sur des liens inattendus, des codes QR ou des pièces jointes ou des liens ou des pièces jointes à partir d'expéditeurs inconnus. Vérifiez via Independent signifie si quelqu'un vous contacte vous demandant de télécharger ou de cliquer sur quelque chose. Ne partagez pas d'informations personnelles avec des personnes que vous ne connaissez pas en ligne et effacez vos comptes d'anciens e-mails et photos qui contiennent des documents qui peuvent contenir des informations personnelles et des informations.