Communiqué de presse
945 sites web piratés - jusqu'à 14 millions de victimes potentielles
945 sites web piratés - jusqu'à 14 millions de victimes potentielles
Lucy Security découvre une collection de bases de données SQL qui ont fuité sur le dark web à partir de 945 sites web du monde entier.
Austin, TX, lundi 29 juin 2020 - Un hôtel de charme à Katmandou, un blog de didacticiels sur les Raspberry Pi, un photographe de Chelsea ou un fournisseur de services EMS - selon l'équipe de recherche sur le Dark Web de Lucy Security, 945 sites Web dans le monde ont été piratés.
Des fichiers SQL archivés volés sur 945 sites web sont proposés sur le dark web, avec des dizaines de millions de victimes potentielles. Les informations désormais accessibles au public comprennent les noms d'utilisateur, les noms complets, les numéros de téléphone, les mots de passe hachés et non hachés, les adresses IP et électroniques ainsi que les adresses physiques.
Deux bases de données totalisant environ 150 Go de fichiers SQL décompressés ont été publiées le 1er juin 2020 et le 10 juin 2020 respectivement. Apparemment, tous les sites ont été piratés par des acteurs différents.
Comme si cela n'était pas assez alarmant, ce n'est peut-être que le début : L'entité qui a collecté et partagé les bases de données sur le dark web prétend avoir rassemblé ces bases de données dites "privées" sans avoir commis aucun piratage par elle-même, mais elle affirme également posséder encore plus de bases de données, qu'elle envisage de partager ou de vendre au plus offrant.
Les sites web ont été ciblés, selon Lucy Security, en fonction de leur classement Alexa (https://www.alexa.com/siteinfo). Ils ont tous moins d'un million de visiteurs.
Ce dernier piratage a-t-il un rapport avec la tristement célèbre Collection #1 ?
Selon l'analyse menée par les chercheurs de Lucy, il s'agit d'une menace entièrement nouvelle ; aucune des bases de données n'était connue du public auparavant.
Les bases de données fuitées, des dumps SQL entiers des sites en question datés entre 2017 et 2020, contiennent jusqu'à 14 millions de victimes possibles. Les informations sensibles trouvées par Lucy comprennent des noms d'utilisateurs de statistiques de sensibilisation à la sécurité, des noms complets, des numéros de téléphone, des mots de passe hachés et non hachés, des adresses IP et électroniques, des adresses physiques et d'autres informations. Parmi les sites touchés figurent 14 sites gouvernementaux appartenant à l'Ukraine, à Israël, au Royaume-Uni, au Belarus, à la Russie, au Liban, au Rwanda, au Pakistan et au Kirghizstan.
