Le vidage des données de la collection contient désormais les données de 2,2 milliards de comptes en ligne uniques.
Image :L'expert en sécurité Troy Hunt, qui a découvert la fuite, a également trouvé ses propres données dans la base de données.
Le plus grand vidage de données jamais enregistré sur les données utilisateur divulguées est un fait. Tout a commencé à la mi-janvier, lorsque l'expert en sécurité Troy Hunt a découvert une fuite sur le service cloud de partage de fichiers MEGA impliquant 773 millions d'adresses e-mail uniques et 22 millions de mots de passe uniques dans plus d'un milliard de combinaisons uniques. Au total, la fuite contenait environ 87 Go de données. Hunt a appelé la fuite Collection #1. Fin janvier, 845 Go de données supplémentaires ont été mis en ligne sous le nom de Collection #2-5. En tenant compte des doublons, les analystes estiment la taille de l'ensemble du vidage des données de la collection à 2,2 milliards de combinaisons uniques.
La plupart des données proviennent de violations de données majeures antérieures, telles que celles de Yahoo, Dropbox et LinkedIn. Dans de nombreux cas, il s'agit de données datant de plusieurs années. Cependant, les chercheurs ont trouvé 750 millions d'entrées qui n'ont pas été ajoutées auparavant à leur base de données de mots de passe et de noms d'utilisateur divulgués. Quelle que soit l'origine des données, il s'agit d'une collection précieuse pour les pirates (inexpérimentés) qui utilisent le credential stuffing bonne chance essayer de s'introduire dans des comptes en ligne. La cyberattaque consiste en ce que le pirate essaie de se connecter à un certain nombre de sites Web en utilisant des combinaisons connues d'adresses e-mail et de mots de passe.
Le fait que, malgré sa taille, l'information soit juste aléatoire, suggère que la collection circule dans le monde des hackers depuis un certain temps. Probablement que les pirates expérimentés, les gars qui veulent vraiment en tirer profit, ont eu les données en leur possession pendant des années. Lorsqu'ils ont tout essayé avec les données disponibles dans les plus grands services, ils ne trouvent plus utile de garder les données pour eux.
Quiconque souhaite vérifier si ses données se trouvent dans une ou plusieurs des collections – et il y a une chance réelle – peut utiliser les services Have I Been Pwned ? ou le Identity Leak Checker du Hasso Plattner Institute. Le conseil pour se protéger contre les fuites de données est toujours le suivant :utilisez un mot de passe unique et complexe partout et stockez de préférence vos mots de passe dans un coffre-fort numérique comme LastPass ou 1Password. Activez la vérification en deux étapes dans la mesure du possible. De cette façon, vous êtes encore mieux protégé contre le credential stuffing.