Data breach*

(* violation de données: incident de sécurité dans lequel des données sensibles, protégées ou confidentielles sont copiées, transmises, vues, volées ou utilisées par une ou des personnes non autorisées à le faire.)


J’avais eu, en Juin dernier la surprise de recevoir d’Amazon un e-mail me demandant de réinitialiser mon mot de passe parce qu’ils avaient trouvé sur Internet une liste d’adresses mail et de mots de passe associés qui pouvait potentiellement me concerner: http://www.lespetitspois.fr/non-ce-nest-pas-du-phishing

J’avais demandé des explications a Amazon qui n’avait pas daigné me répondre sur la question concernant cette fameuse liste: http://www.lespetitspois.fr/non-ce-nest-pas-du-phishing-update

Aujourd’hui, pendant me petit tour du web, je tombe sur un article de http://www.solutions-numeriques.com bien intéressant sur le sujet: Amazon réinitialise les mots de passe par mesure préventive. Le même type d’email serait envoyé en masse depuis samedi:

amz01

Mais le plus intéressant dans l’histoire, c’est que l’article site (enfin !) une source d’information:

https://leakedsource.com

https://leakedsource.ru (update 14/09/2018)

amz02

Ce site (Russe)  permet notamment de checker son e-mail pour voir si ce dernier apparaît dans une des bases de données piratées connues.

J’ai évidemment tester mes e-mails et Boom : je fais bien partie de leur base (ie, d’une base piratée, en l’occurrence: last fm)… j’ai donc du travail sur la planche…

amz05

Mais ça c’est la version soft du site.

Le dark side c’est que le site se permet tranquillement la revente de vos données piratées !!! C’est pas bon ça ?!!

Bref, pour 4 dollars (le prix journalier d’un abonnement Leaked source pour accéder aux données) n’importe quel internaute peut se transformer en vulgaire violeur de vie 2.0. Il suffit de rentrer un mail, un pseudonyme ou encore une adresse IP et Leakedsource cherche dans ses bases de données la moindre concordance. Cerise sur le gâteau, quand le mot de passe est hashé, donc illisible à la première lecture, Leaked source propose la version du précieux sésame déchiffré.
En savoir plus sur http://www.zataz.com/leakedsource-fuite-vie-privee/#HMLaPCr3hgTC0JVs.99

amz06

Une solution “temporaire” (cf dernier screenshot de la série ci-dessous) pour sortir de la base de leakedsource semble malgré tout exister. On la trouve au fin fond de la FAQ, à la rubrique “Remove yourself”. J’ai fais. J’espère que ce n’était pas une mauvaise chose…

amz07

amz08

amz09

amz10

Ça n’arrive pas qu’aux autres donc !  Il n’a plus qu’à se remonter les manches !

NB: un autre site existe qui n’a pas a priori ce côté malveillant (je parle de la revente) :  https://haveibeenpwned.com

amz03

amz11

Pus d’info sur https://haveibeenpwned.com: https://en.wikipedia.org/wiki/Have_I_Been_Pwned%3F et sur son “papa”(Troy Hunt): https://en.wikipedia.org/wiki/Troy_Hunt

NB2: les 2 sites offrent un service de notification gratuit de veille d’email en cas de nouvelle “data breach”. C’est chacun qui se le voit.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Merci de renseigner le captcha ! * Time limit is exhausted. Please reload CAPTCHA.