Itinéraire d’une fuite de données

Le 28 janvier 2020 s’est tenue la « journée de la donnée personnelle« . ZATAZ va vous montrer la véritable histoire d’une fuite d’information. Celle qui une fois dans les mains de pirates informatiques est totalement perdue.

Tout débute par une des surveillances du Service Veille ZATAZ. Un black’naute, un consommateur de données piratées, se plaint d’un de ses achats. Il a acheté pour 1€50 un compte piraté à un VPN. « Je viens de vous acheter un Compte NordVPN mais les identifiants reçus ne fonctionnent pas. Les voilà : Sandrine.***gmail.com:***** ». Une missive qu’il a envoyé à son vendeur. Ce dernier, un « pirate » informatique spécialisé dans la vente de comptes piratés.

Rapidement, je retrouve la boutique du pirate et me décide de suivre cette Sandrine. Du moins, ses identifiants de connexion (mails/mot de passe).

Vous allez découvrir qu’une fois volée, l’identité et la réputation numériques sont définitivement perdues !

message pirate

Un black’naute se plaint auprès de son vendeur pirate d’une donnée erronée !

Un pour tous, tous pour un

L’enquête débute via plusieurs moteurs de recherche: Qwant, Google, DuckDuckGo …

Je vais exploiter 16 moteurs de recherche différents pour débuter. Rapidement, tous me dirigent vers deux documents Pastebin. Pastebin permet de sauvegarder du texte qui se récupère via un lien. Les deux pastebins sont effacés.

Ils se retrouvent cependant dans le cache Google. Il date du 30 décembre 2019. Le premier fichier comporte 424 mails et mots de passe dont celui de Sandrine. Intéressant dans ma recherche, une date est apposée au compte piraté. Il est de type « Année-Mois-Jour et heure« . Pas de doute, ce compte acheté par le black’naute est bien un log. Le second Pastebin effacé affiche 1 666 copies.

Plusieurs autres comptes clients apparaissent dans ces documents texte. Je vais me concentrer sur les Français (fr). Il y en a 18.

Deux accès dans ce fichier me permettent de corroborer la suite de mon enquête. Au niveau de la recherche, Sandrine est déjà diffusée 2 090 fois (le BN, deux Pastebin: le 1er 424 copies ; Le second 1 666).

Un petit passage en Inde pour le log de Sandrine.

L’un des comptes me permet de retrouver la première source de diffusion pirate affichant Sandrine. Un espace de discussion Telegram administré par un pirate Iranien. Cette diffusion malveillante date du 10 juillet 2019. Le document du voyou numérique annonce le nom de l’entreprise d’où est tirée le log, il s’agit bien du fournisseur de VPN.

Ce log semble être tiré d’un phishing. Cependant, je n’ai aucune preuve de cet hameçonnage. D’autant que le « primo » log contient des informations qu’un phishing n’intercepte normalement pas. Le log affiche la date d’expiration du compte « Novembre 2019 ». Dans le fichier du pirate Iranien, d’autres informations qui me permettent de savoir quand a été volé la donnée.

Ce compte Telegram privé compte plus de 3 000 membres. 762 personnes ont copié la donnée de Sandrine pour la revente, l’échange …

Le message Telegram du groupe pirates iranien.

Sandrine a déjà été copiée 2 852 clones.

Dans la foulée, le pirate diffuse un lien vers une copie sur Throwbin. L’API de ce site web m’indique que cette copie date du 7 juillet 2019.

Coup de sirocco

Très vite, la donnée de Sandrine se diffuse. Le 24 septembre un compte Telegram commercialise l’info. Le 16 novembre, la voici sur TPaste (831 comptes, 1200 copies).

17 Novembre, un forum Russe, hébergé à Hong Kong, propose la dame en échantillon gratuit. 45 copies.

A cette date, Sandrine est dans 4 052 mains pirates.

Le site Russe et le log du 17 novembre 2019.

Le 20 novembre, premier Pastebin (424 copies). Le 22 novembre, copie sur Throwbin (pas de chiffre de téléchargement).

Le 2 décembre, Sandrine se retrouve dans le Bollywood des pirates. Un site Indien diffuse le log de Sandrine dans une nouvelle base de données de plus de 2 000 comptes. 275 personnes vont copier le fichier.

Le 9 décembre, un nouveau fichier de 331 comptes inédits, contenant le log de Sandrine, apparaît sur Pastr. 364 copies.

Le 30 décembre, Sandrine termine sa route sur PasteBin. 1666 copies.

En 6 mois, l’identité numérique de Sandrine a été copiée, au moins 4 691 fois ! 120 Français sont concernés par cette « simple » fuite. 52 Canadiens (ca). 22 Belges. Sandrine a été contactée par ZATAZ.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Responsable du Pôle Cyber Intelligence pour la société 8Brains / Montréal. En savoir plus : https://www.damienbancal.fr

Articles connexes