Piratage : fuite de 350 millions d’identifiants de connexion

ZATAZ découvre plus de 190 bases de données pirates additionnant plus de 380 millions d’identifiants de connexion. Etes-vous dans la liste ?

Nouvelle pêche « miraculeuse » d’identifiants de connexion dans les sites, forums et autres black markets que ZATAZ surveille. Alors que nous suivions la discussion d’un petit groupe de pirates malaisiens, nous avons pu intercepter un espace de stockage (clouf) inquiétant.

Notre Malais étant « très » limité, nous avions pensé au début à une conversation traitant de contenus pornographiques. 11,4Go de données via 194 fichiers .mp4 (format vidéo).

Mais la discussion entre les malveillants indiquait par la suite que les .mp4 devaient se modifier en .txt.

Et c’est là que nous avons compris.

Il suffisait de modifier les suffixe vidéo (.mp4) et suffixe texte (.txt). Autant dire que nous avons sauté sur l’occasion de regarder ce que cachaient ces tentatives de modifications sommes toutes légères.

Et là…

… c’est le drame !

Chaque document, soit 194 fichiers textes baptisés testxxx.txt (xxx = le numéro du .txt), propose 2 millions d’identifiants de connexion. Login, mail et mots de passe. Des « password » TOUS lisibles en clair. Comprenez qu’ils ne sont pas chiffrés (hashés). Donc, des PWD utilisables en l’état. Bilan, cela donne 194 X 2 millions = 388 000 000. Soit l’équivalent, à 10 millions prêts, de l’addition des habitants de la France et des USA réunis (395 279 400 selon Wikipedia).

Impossible, pour le moment, d’où proviennent cette masse de données. Très certainement de multiples piratages et autres phishing.

Il faut, en tout cas, une sacrée main d’oeuvre pour collecter ces informations.

Nous sommes toujours en train d’analyser les documents au moment de l’écriture de cet article. Nous continuerons tant que nous n’avons pas été repérés dans les logs du FTP.

Le premier fichier, test1.txt affiche 799 823 .com. 793 714 comptes russes (.ru) ; 195 435 Gmail ; 96 697 .net ; 62 179 comptes Français (.fr) ; 23 372 Canadiens (.ca) ; 2 015 .org ; 3 406 Suisses (.ch) ; 3 172 Belges (.be) ou encore 947 Luxembourgeois (.lu).

L’analyse des fichiers test2 à test5 nous a permis de découvrir 277 524 .fr ; 20 777 canadiens ou encore 2 729 belges supplémentaires.

Revenez sur cette page pour les mises à jour des chiffres par pays et suffixes Internet d’ici quelques heures.

En écrivant à postmaster[.@.]dataleak.exposed vous pourrez savoir si vous êtes dans cette liste, gratuitement.

Etes-vous dans ces 193 bases de données pirates ?

Nous vous proposons de profiter du Service Veille ZATAZ afin de vous alerter, protéger et agir. A l’occasion du Mois de la Cybersécurité, nous vous offrons -10% avec le code : cybermois

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Rytbi Reply

    Pour faire peur pour récolter des clics

    • Damien Bancal Reply

      Bonjour René,
      Nous informons sur un sujet. Nous alertons pour que les gens prennent conscience du problème.
      Vous pensez donc la même chose quand vous regardez/écoutez/lisez la météo ? « Le mauvais temps arrive, c’est pour faire des clics » – Vous regardez la météo pour savoir comment vous habiller avant de sortir.
      Maintenant, posez-vous la question, mais je doute que votre « trollerie » avait ce but : pourquoi êtes-vous venu lire cet article ? Pour espérer récupérer les données ?
      Cordialement

  2. bossa Reply

    Vous vendez le vol de données par vos services, bonnet blanc et blanc bonnet …

    • Damien Bancal Reply

      Bonjour,

      Je vous réponds pour mettre au clair quelques détails que vous n’avez pas pris le temps de lire, avide d’avoir l’information qui vous aurez permis de copier les données, par exemple !
      J’aurai très bien pu effacer le message que personne n’aurai vu, sachant que nous modérons les propos avant publication. (cela évite propos racistes, malveillants, fake news …).

      – Il est hors de question de vendre la moindre donnée.
      – Nous proposons un service de veille et de cyber intelligence pendant que vous passez votre temps à avoir des préjugés.
      – Nous proposons aussi ce service gratuitement quand l’urgence ce fait sentir, comme ici : https://www.zataz.com/stockage-pirate-mais-a-qui-sont-ces-2-000-sites-web-pirates/
      N’hésitez pas à nous contacter par mail si vous n’avez pas les moyens de souscrire au SVZ. Nous nous ferons un plaisir de vous fournir ce que nous aurons trouvé dans votre cas, gratuitement.
      Nous ne faisons pas cela pour l’argent, le prix serait 10x plus important 🙂

      Cordialement

  3. nom Reply

    tu veux dire que t’es tombé sur un truc équivalent aux collection #1-7 ?

    • Damien Bancal Reply

      Bonjour,
      Je pense, malheureusement.
      Sauf que dans ce cas là, pas d’informations sur les sources, sauf dans certains cas, mais en raison des données laissées dans les données des piratés: « [email protected] » ou dans le mot de passe « sitewebsuitedumotdepasse ».

  4. OLIVIER Reply

    Bonsoir, tout d’abord merci a vous pour avoir fais paraitre ce bon article.
    Je me permets de vous demander conseil car j’ai souvent des soucis
    « de fuite de données » , et je fais le tour de mon installation que je trouve clean et sans malware ou autre intrus visible!
    Je remarque toujours un seul petit détail, c’est que mon identifiant de connexion et surtout mon mot de passe ne fonctionne plus, je l’ai déjà fais remonter plusieurs fois a mon opérateur (RED by SFR) qui ne communique pas sur ce sujet et qui est très long a la détente pour réinitialiser, pensez vous que cela puisse avoir un lien avec mes fuites de données? Que pensez vous de déposer plainte, mais éventuellement contre qui? (opérateur ou X et a qui s’adresser pour la plainte car le commissariat local ne prend pas) Car ce qui est bizarre c’est qui a la pouvoir de modifier les mots de passes de connexion comme cela a maintes reprises, normalement c’est l’opérateur? Je vous remercie par avance des conseils que vous pourrez m’apporter, bien cordialement a vous, olivier.

    • Damien Bancal Reply

      Bonjour,
      L’une des causes de la fuite de donnée, c’est l’utilisateur : phishing, exploitation multiples …
      Je vous conseille, d’abord, de changer le mot de passe.
      Pour cela, utilisez la console d’administration de votre opérateur.
      De vous assurer que vous ne l’utilisez pas ailleurs et qu’il n’a pas été proposé à des proches.
      Ensuite, voir si la double authentification est possible.
      Cordialement

Répondre à bossa Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.