Une base de données de 87 Go regroupant 773 millions d’emails et 21,2 millions de mots de passe a été découverte en accès libre sur le service de stockage cloud Mega.
Collection#1 regroupe 87 Go de données personnelles réparties en 12 000 fichiers et totalise près de 2,7 milliards de colonnes. (crédit : D.R.)
Encore une mauvaise nouvelle pour la cybersécurité mondiale. Une base de données regroupant 773 millions d’emails provenant de plusieurs sources a été publiée sur le service de stockage cloud Mega. Outre ces avalanche de courriels, la base contient également plus de 21,2 millions de mots de passe. Baptisé « Collection#1 » ce leak a été révélé par Troy Hunt, à l’origine du site HaveIBeenPwned qui permet de savoir si son email ou mot de passe a été compromis dans un piratage. « Le volume de cette drop zone est impressionnant même s’il ne s’agit pas de numéros de cartes bancaires mais de données de connexions beaucoup plus faciles à récupérer », nous a expliqué Bernard Montel, senior presales manager Europe chez RSA. « Le fait que ces données se retrouvent en accès libre va casser le marché de la vente d’identifiants. Plus la base est complexe, plus elle est riche et plus on casse le marché ».
Cette base de 87 Go de données personnelles réparties en 12 000 fichiers totalise près de 2,7 milliards de colonnes, incluant plus d’1,1 milliard de combinaisons d’emails et mots de passe. Ce leak présente un niveau de dangerosité particulièrement élevé dans la mesure où il pourrait associer un couple e-mail et mot de passe fonctionnel qui pourrait permettre à un pirate d’usurper l’identité d’utilisateurs. Dans le cas où son email et son mot de passe apparaissent dans le service HaveIBeenPwned, il est alors tout à fait possible qu’une personne malintentionnée puisse se faire passer pour un utilisateur et tente d’accéder à des services en ligne personnels.
Changer immédiatement le mot de passe
Le pire étant son service de messagerie, comme Google, qui peut être utilisé pour conserver des mots de passe esclave pour accéder à des sites tiers. En connaissant le mot de passe Gmail maître, il est dès lors possible d’accéder aux autres enregistrés dans le navigateur. « Il faut changer de mot de passe même si on a une authentification à double facteur sinon les hackers vont le faire à votre place », prévient Bernard Montel. « Il faut penser à des mots de passe forts, pas des mots simples dont on peut se rappeler facilement ».