IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    Mars 2020
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : Mars 2020
    Messages : 838
    Points : 58 045
    Points
    58 045
    Par défaut Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens
    Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens,
    l’incident a été signalé par le dfndr lab, le laboratoire de cybersécurité de Psafe

    Mardi 19 janvier, le dfndr lab, le laboratoire de l’entreprise de cybersécurité PSafe signalait une fuite de données très inquiétante au Brésil. Les données en question permettent d’accéder à plusieurs informations sensibles de plus de 220 millions de Brésiliens, soit plus que le total de la population ; et pour cause : la base contient aussi des données de personnes décédées. Quelques jours plus tard, on découvre que non seulement un malfaiteur avait décelé la fuite et téléchargé les données, mais qu’en plus, il les avait mis en ligne sur un forum de vente accessible à n’importe qui. Cet ensemble de données personnel comprend : le Cadastro de Pessoas Físicas (CPF) des victimes, une photo du visage, une adresse, un numéro de téléphone, un courriel, un score de crédit, un salaire, un revenu et bien plus encore une partie des données peut se télécharger gratuitement, l’autre s’achète au détail.

    Notons que si l’on parle de données critiques, c’est principalement parce que la base contient le CPF des victimes, qui est leur numéro d'enregistrement de contribuable national. En France, l’équivalent du CPF serait le numéro fiscal, l’identifiant lié au paiement des impôts. La seule présence du CPF suffit à envisager des risques de fraude ou d’usurpation d’identité.

    Nom : Screenshot_2021-01-26 Exclusivo vazamento que expôs 220 milhões de brasileiros é pior do que se .png
Affichages : 3173
Taille : 89,8 Ko
    Une partie des dossiers inclus dans la fuite


    Deux fuites de données distinctes

    La première fuite ne comporte que le nom complet, le CPF, la date de naissance et le sexe : elle est disponible en téléchargement gratuit sur un forum bien connu pour la diffusion de ce genre d'informations. Le fichier de 14 Go contient les données de 223,74 millions de CPF distincts et a apparemment été compilé en août 2019. Il est disponible sur l'internet ouvert et non sur la toile noire : le lien a même été indexé par la recherche Google. Le nombre de personnes touchées est plus important que la population brésilienne, car la base de données inclut également les personnes décédées.

    La seconde fuite apporte des informations provenant des mêmes 223,74 millions de personnes et aurait également été compilée en août 2019. Il a été publié par le même utilisateur sur le forum et comprend les CPF. Dans ce cas, seul l'aperçu est disponible gratuitement : celui qui veut le paquet complet doit dépenser de l'argent. Les prix varient de 0,075 à 1 dollar US par CPF, selon la quantité achetée. Le paiement est effectué en bitcoins uniquement.

    Dans un communiqué de presse, le directeur du laboratoire du dfndr, Emilio Simoni, a expliqué que le plus grand risque est que ces données soient utilisées dans des escroqueries de phishing, dans lesquelles une personne est incitée à fournir des informations plus personnelles sur une fausse page. Simoni précise également que, puisqu'il s'agit d'informations précieuses pour le marché, on suppose qu'elles sont échangées illégalement dans un quelconque forum du web noir. Alors qu'une partie des bases est mise à disposition pour des tests, dit-il, les cybercriminels vendent « les données les plus approfondies, telles que les courriels, les téléphones, les données sur le pouvoir d'achat et l'occupation des personnes concernées.

    Le Brésil va devoir gérer une crise de cybersécurité nationale, et une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits comme grands. D’autres utilisations pourraient avoir d’encore plus grandes conséquences. À l’heure où la menace rançongicielle plane sur les entreprises, ce genre de fuite en augmente considérablement les risques. La nouvelle loi sur la sécurité de la protection des données prévoit des amendes pouvant atteindre 50 millions de R$ pour une infraction de ce type.

    Nom : Screenshot_2021-01-26 Exclusivo vazamento que expôs 220 milhões de brasileiros é pior do que se .png
Affichages : 2416
Taille : 109,4 Ko

    Les informations qui ont été exposées dans la fuite de données

    Au total, il existe 37 bases qui comprennent toutes sortes de données personnelles, notamment le RG, l'état civil, la liste des parents, l'adresse complète (avec latitude et longitude), le niveau d'éducation, le salaire, le revenu, le pouvoir d'achat... Mais en plus, il s’accompagne d’une variété de données d’une précision effrayante. Voici une liste non exhaustive de ce que contient la base sur chaque individu :

    • nom, CPF, sexe, date de naissance, nom du père, nom de la mère, statut marital ;
    • lien familial : catégorise les personnes selon le lien du 1er degré (mère, père, fils, fille, frère, sœur, conjoint) ou du 2e degré (grand-père, petit-fils, oncle, neveu, cousin, etc.) ;
    • email ;
    • téléphone : numéro, opérateur, plan, type de ligne (fixe, prépayée, postpayée), date d'installation ;
    • adresse : adresse, numéro, quartier, ville, état, code postal, type (résidentiel / commercial), latitude et longitude ;
    • foyers : CPF du chef de famille, nombre de personnes, tranche de revenu, adresse complète ;
    • éducation : niveau (analphabète / primaire / technique / supérieur, etc.) ;
    • étudiants universitaires : 1 643 105 personnes avec le nom du collège, le cours, l'année d'entrée et l'année d'obtention du diplôme ;
    • profession : position, numéro CBO (Classification brésilienne des professions) ;
    • emploi : nom de l'employeur, type de caution (CLT, freelance, serveur, apprenti, etc.), date d'admission, salaire, heures de travail par semaine ;
    • salaire : valeur, type (mensuel, bihebdomadaire, hebdomadaire, etc.), heures par semaine ;
    • revenu : montant mensuel (comprend le salaire, les loyers, les intérêts perçus, etc.), classe sociale (faible, moyenne, élevée), tranche de revenu ;
    • la classe sociale (A1, A2, B1, B2, C1, C2, D, E) ;
    • pouvoir d'achat : niveau (faible, moyen, élevé), revenu, salaire ;
    • bourse familiale : montant, statut de la prestation (libérée / bloquée), statut de la prestation (active / inactive), nombre et nom des personnes à charge, numéro d'identification sociale ;
    • numéro d'inscription sur les listes électorales, zone, section, adresse, municipalité, État ;
    • CNS (Carte nationale de santé) ;
    • NIS (numéro d'identification sociale) ;
    • INSS : nom de l'assuré, numéro de prestation, date de début, espèces (retraite, pension, allocation de maternité, etc.) ;
    • IRPF (impôt sur le revenu) : nom de l'établissement bancaire, code de l'agence, lot de remboursement ;
    • Revenu fédéral : situation cadastrale (titulaire régulier / suspendu / annulé / décédé) ;
    • score de crédit : activité de crédit, score de risque, niveau de risque (faible / moyen / élevé) ;
    • les débiteurs : nom, type de débiteur (principal, coresponsable), situation (actif, en recouvrement, jugé), type de dette (amende, impôt sur le revenu, PIS, etc.), montant, allé au tribunal ? (oui / non) ;
    • chèques sans fonds : code bancaire et agence, motif (pas de fonds / compte fermé) ;
    • Mosaïque : groupe et sous-groupe de segmentation ;
    • affinité : niveau de précision, percentile ;
    • Modèle analytique : permet aux consommateurs d'avoir une affinité pour l'achat d'un produit ou d'un service ;
    • photos de visages : 1 176 157 images JPEG avec des dates entre 2012 et 2020 ;
    • le nom du fichier est le CPF de la personne correspondante ;
    • LinkedIn : 5 051 553 profils de réseaux sociaux avec numéro d'identification et accès URL ;
    • entreprise : nom de l'associé d'une société, participation (parts et %), raison sociale et nom fictif de la société date d'entrée dans la société ;
    • fonctionnaires : description du poste, capacité, exercice, revenu brut, état, obligation, retraite (oui / non) ;
    • conseil : 2 260 960 personnes fournissant des conseils dans la sphère publique ou privée, y compris le code de situation, de spécialité et de profession ;
    • décès : date du décès, âge, date du certificat de décès, nom et adresse du notaire.


    Source : dfnd/PSafe

    Et vous ?

    Quel est votre avis sur le sujet ?
    Cette situation vient encore rappeler combien avoir un mot de passe fort et unique est important. Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?

    Voir aussi :

    60 % des incidents de cybersécurité et la majorité des fuites de données en entreprise sont l'œuvre des employés « à risque de fuite », qui prévoient de quitter leur emploi, selon un rapport

    Une fuite de données a révélé les renseignements personnels de plus de 3000 utilisateurs de Ring, mais la société a nié que ses systèmes avaient été compromis

    Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs, via un serveur Elasticsearch non sécurisé

  2. #2
    Membre averti
    Homme Profil pro
    IT Specialist
    Inscrit en
    Octobre 2019
    Messages
    136
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : IT Specialist
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2019
    Messages : 136
    Points : 341
    Points
    341
    Par défaut
    C'est sacrément violent....

  3. #3
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 791
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 791
    Points : 7 294
    Points
    7 294
    Par défaut
    Pire que tout, cela en révèle beaucoup sur ce que les états savent de nous. Et si un bourrin de pirate arrive à les hacker, que penser de la NSA ? Les mégabases deviennent des dangers publiques. Je me tourne vers la France et l'Europe qui, pour des raisons pratiques, raffolent de cette solution.

  4. #4
    Membre extrêmement actif
    Femme Profil pro
    Webmarketer
    Inscrit en
    Janvier 2021
    Messages
    399
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : Janvier 2021
    Messages : 399
    Points : 743
    Points
    743
    Par défaut
    Même si cela semble énorme, ce n'est pas nouveau pour les Brésiliens. On sait qu'il y est d'acheter des DVD contenant des données personnelles de millions de clients brésiliens dans 'les rues de Sao Paolo.

    Il ya quelques années j'ai lu des articles qui ont été publiés à ce sujet. Meme les données de l'ancien président y figurait. Numéro de sécurité sociale, adresse, nom, numéro de téléphone et même quelques relations familiales. Et c'était assez bon marché.

  5. #5
    Membre éclairé
    Profil pro
    Account Manager
    Inscrit en
    Mars 2006
    Messages
    153
    Détails du profil
    Informations personnelles :
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : Mars 2006
    Messages : 153
    Points : 702
    Points
    702
    Par défaut
    Punaise, c'est pire qu'un crédit social ce truc !

  6. #6
    Invité
    Invité(e)
    Par défaut
    Bonsoir,

    Quel est votre avis sur le sujet ?
    Pour avoir déjà travaillé avec des sud américains en terme de BDD et de sécu informatique, la sérieux est à l'image des pays = folklorique ... Le "gestion saine" des données, aussi bien personnelles que de toute nature, relève parfois de l'inentendement en Amérique du sud ... Normes non respectées, manque de normalisation dans la saisie , le contrôle des données et la traçabilité une véritable passoire ... La sécurité de informatique est allégrement bafouée ...

    En gros ces pays travaillent comme nous il y a 20 ans ... avec les solutions d'aujourd'hui. Le RGPD est juste une vaste blague pour eux.

    Cette situation vient encore rappeler combien avoir un mot de passe fort et unique est important. Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?
    Ce n'est pas une affaire de mot de passe. C'est une affaire de négligence et c'est toute la chaine de valeur d’exécution et d'ordre qui est responsable ... Du responsable politique et en entreprise ouvertement corrompu à l’exécutant qui ferme les yeux contre des pots de vin ...

    Puis c'est pas comme ci que l'administration publique brésilienne , exotique soit elle , est aussi connue pour son incurie et sa très mauvaise gestion !

    Dans le même acabit : 42 millions de mexicains de siphonnés : https://www.zataz.com/42-millions-de...-informatique/

    On peut clairement dire ici que les piratages ont cartonnés en Amérique du sud !

Discussions similaires

  1. Réponses: 0
    Dernier message: 04/06/2020, 08h54
  2. Réponses: 0
    Dernier message: 27/12/2019, 10h46
  3. Réponses: 0
    Dernier message: 29/11/2018, 15h50
  4. Réponses: 7
    Dernier message: 21/11/2016, 12h33
  5. [ODBC] Utiliser une base de données Access sans les MFC
    Par Higestromm dans le forum Bases de données
    Réponses: 6
    Dernier message: 15/03/2005, 22h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo