L’US National Public Data a publi par inadvertance les mots de passe de sa base de donnes back-end dans un fichier librement accessible depuis sa page d’accueil. Un rapport de KrebsOnSecurity montre que le fichier contenait le code source et les noms d’utilisateur et mots de passe en texte clair d’une socit sur de NPD, mais possdant des pages de connexion identiques. Cela aurait permis aux pirates d’accder aux donnes prives de 272 millions de personnes.
Depuis avril 2024, des rapports faisaient tat d’une fuite massive de donne provenant du piratage du National Public Data des tats-Unis (NPD). Le NPD a confirm l’existence d’une faille exposant les numros de scurit sociale et d’autres informations personnelles sensibles telles que les noms, les adresses lectroniques, les numros de tlphone et les adresses postales. Le NPD dclarait enquter sur l’incident et « essaierait d’informer » les personnes potentiellement affectes.
De nouveaux dtails mergent sur le piratage du National Public Data (NPD), un courtier en donnes de consommation qui a rcemment mis en ligne les numros de scurit sociale, les adresses et les numros de tlphone de centaines de millions d’Amricains. KrebsOnSecurity a appris qu’un autre courtier en donnes du NPD qui partage l’accs aux mmes dossiers de consommateurs a publi par inadvertance les mots de passe de sa base de donnes back-end dans un fichier qui tait jusqu’ aujourd’hui disponible en tlchargement gratuit sur sa page d’accueil.
L’US National Public Data aurait publi ses propres mots de passe
En avril, un cybercriminel nomm USDoD a commenc vendre des donnes voles NPD. En juillet, quelqu’un a divulgu ce qui avait t vol, notamment les noms, adresses, numros de tlphone et, dans certains cas, les adresses lectroniques de plus de 272 millions de personnes (dont beaucoup sont aujourd’hui dcdes).
Le NPD a reconnu la faille le 12 aot, indiquant qu’elle remontait un incident de scurit survenu en dcembre 2023. Dans une interview accorde la semaine dernire, l’USDoD a attribu la violation de juillet un autre pirate informatique malveillant qui avait galement accd la base de donnes de l’entreprise. Cette base de donnes circule sous le radar depuis dcembre 2023.
Selon le rapport de KrebsOnSecurity, une proprit sur de NPD – le service de recherche d’antcdents recordscheck.net – hbergeait une archive contenant les noms d’utilisateur et les mots de passe de l’administrateur du site. L’examen de ces archives, qui taient disponibles sur le site de RecordsCheck jusqu’ la veille de leur publication ce matin (19 aot), montre qu’elles contiennent le code source et les noms d’utilisateur et mots de passe en texte clair pour diverses parties de recordscheck.net, qui ressemble visuellement nationalpublicdata.com et possde des pages de connexion identiques.
L’archive expose, appele « members.zip », indique que tous les utilisateurs de RecordsCheck ont initialement reu le mme mot de passe six caractres et ont t invits le changer, mais beaucoup ne l’ont pas fait. Selon le service de suivi des violations Constella Intelligence, les mots de passe contenus dans l’archive du code source sont identiques aux identifiants de connexion exposs lors de prcdentes violations de donnes impliquant des comptes de messagerie appartenant au fondateur de NPD, un acteur et un adjoint du shrif de Floride la retraite, Salvatore « Sal » Verini.
M. Verini a dclar par courriel que l’archive expose contenant les identifiants recordscheck.net a t supprime du site Web de l’entreprise et que le site devrait cesser ses activits « d’ici une semaine environ« . « En ce qui concerne le fichier .zip, il a t supprim, mais il s’agissait d’une ancienne version du site dont le code et les mots de passe taient casss« , a dclar M. Verini KrebsOnSecurity. « En ce qui concerne votre question, il s’agit d’une enqute en cours, que nous ne pouvons pas commenter pour le moment.«
La fuite du code source de recordscheck.net indique que le site a t cr par une socit de dveloppement web base Lahore, au Pakistan, appele creationnext.com. La page d’accueil de CreationNext.com contient un tmoignage positif de Sal Verini. Plusieurs sites web ont t crs pour aider les gens savoir si leur BSN et d’autres donnes ont t exposes dans le cadre de cette violation. L’un d’entre eux est npdbreach.com, une page de recherche cre par Atlas Data Privacy Corp. Un autre service de recherche est disponible sur npd.pentester.com. Les deux sites montrent que NPD disposait de donnes anciennes et largement inexactes sur Yours Truly.
Il est galement intressant de noter qu’il existe de nombreux services cybercriminels qui proposent des vrifications dtailles des antcdents des consommateurs, y compris des numros de scurit sociale complets. Ces services sont aliments par des comptes compromis avec des courtiers en donnes qui ciblent les enquteurs privs et les forces de l’ordre, et certains sont maintenant entirement automatiss via des bots de messagerie instantane Telegram.
En novembre 2023, KrebsOnSecurity a fait tat d’un de ces services, qui tait aliment par des comptes pirats chez le courtier en donnes de consommation amricain USInfoSearch.com. Ce cas est remarquable car le code source divulgu indique que RecordsCheck demandait des rapports d’antcdents sur des personnes en interrogeant la base de donnes d’USInfoSearch et les donnes du NPD.
KrebsOnSecurity partage quelques conseils en rponse cet incident :
Le meilleur conseil que l’on puisse donner ceux qui s’inquitent de cette violation est de geler leur dossier de crdit auprs de chacune des principales agences d’valuation du crdit. En gelant votre dossier, il est beaucoup plus difficile pour les usurpateurs d’identit de crer de nouveaux comptes en votre nom et cela limite le nombre de personnes qui peuvent consulter vos informations de crdit.
Le gel est une bonne ide car toutes les informations dont les voleurs d’identit ont besoin pour usurper votre identit sont aujourd’hui largement disponibles auprs de multiples sources. Cela est d la multitude de violations de donnes et qui concernent les numros de scurit sociale et d’autres donnes statiques importantes sur les individus.
Le fait est que si vous tes un Amricain qui n’a pas gel ses dossiers de crdit et que vous n’avez pas subi de fraude sur un nouveau compte, les voleurs d’identit n’ont probablement pas encore russi vous atteindre.
Tous les Amricains ont galement droit une copie gratuite de leur rapport de solvabilit chaque semaine de la part de chacun des trois principaux bureaux de crdit. Auparavant, les consommateurs taient autoriss recevoir un rapport gratuit par an de chacun des bureaux, mais en octobre 2023, la Federal Trade Commission a annonc que les bureaux ont tendu de manire permanente un programme qui vous permet de consulter gratuitement votre rapport de crdit une fois par semaine.
Si vous ne l’avez pas fait depuis longtemps, c’est le moment idal pour commander vos dossiers. Pour placer un gel, vous devez ouvrir un compte auprs de chacune des trois principales agences d’valuation du crdit, Equifax, Experian et TransUnion. Une fois que vous avez ouvert un compte, vous devriez tre en mesure de consulter et de geler votre dossier de crdit. Si vous constatez des erreurs, telles que des adresses et des numros de tlphone alatoires que vous ne reconnaissez pas, ne les ignorez pas. Contestez toutes les inexactitudes que vous trouvez.
Source : KrebsOnSecurity
Et vous ?
Pensez-vous que le rapport de KrebsOnSecurity est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :