La tension entre la protection de la vie privée des utilisateurs et les intérêts publicitaires des entreprises fait régulièrement les gros titres, comme avec Facebook et d'autres géants du numérique contraints de s'expliquer sur leur gestion des données personnelles.
Ce phénomène n'est pas nouveau : de nombreuses entreprises ont, au fil des ans, compromis des informations sensibles au nom de la croissance et des profits. Voici 10 exemples concrets où la collecte de données a mis en péril vos données personnelles.
LocalBlox, un agrégateur de données issues des médias sociaux, a défrayé la chronique après la découverte par UpGuard, spécialiste en cybersécurité, d'une exposition de 48 millions de comptes.
"L'équipe UpGuard Cyber Risk confirme qu'un dépôt cloud de LocalBlox, service de recherche de données personnelles et professionnelles, était accessible publiquement, exposant 48 millions d'enregistrements détaillés sur des dizaines de millions d'individus issus de diverses sources", indique le rapport d'UpGuard.
Au-delà des détails des réseaux sociaux, les données incluaient noms réels, adresses physiques, dates de naissance et plus encore, provenant de LinkedIn, Facebook et Twitter. Les cybercriminels exploitent ces informations pour des phishing, ingénierie sociale, manipulation et vol d'identité.
En 2017, Deep Root Analytics, engagée par le Comité national républicain (RNC), a compromis les données de près de 200 millions d'électeurs inscrits aux États-Unis.
Cette société, en collaboration avec TargetPoint Consulting et DataTrust, a compilé des profils basés sur des informations personnelles : noms, adresses, numéros de téléphone, et même des prédictions d'ethnicité et de religion.
La fuite, impliquant plus de 1,1 téraoctet sur un serveur cloud non sécurisé, a entraîné un recours collectif contre Deep Root Analytics.
City River Media (CRM), opération de spam illégale se faisant passer pour une société de marketing légitime, a exposé 1,4 milliard de comptes email associés à des noms réels, adresses IP et parfois physiques.
Des sauvegardes Rsync mal configurées sont en cause, selon MacKeeper Security Research Center, CSOOnline et Spamhaus. Chris Vickery de MacKeeper a accédé à des logs internes et transmis les preuves aux autorités, révélant un envoi quotidien de plus d'un milliard d'emails automatisés.
De nouvelles opérations similaires émergent constamment : protégez vos emails des spammeurs.
Les fuites ne sont pas toujours dues à des failles techniques. Comme pour Facebook et Cambridge Analytica, Grindr a transmis des données sensibles à des tiers.
Les utilisateurs ont découvert que le statut sérologique, la position GPS, l'identifiant du téléphone et l'email étaient partagés avec Apptimize et Localytics, dans les limites de l'API à l'époque.
Grindr a nié toute vente de données, affirmant un partage pour l'optimisation de l'app, mais a cessé cette pratique. Les experts soulignent le risque accru de violations : vérifiez vos comptes sur des outils comme Have I Been Pwned.
En Afrique du Sud, une fuite massive a exposé plus de dossiers que d'habitants : 60 millions de numéros d'ID uniques, incluant 12 millions de mineurs, noms, coordonnées, etc.
Le numéro d'ID sud-africain révèle âge, sexe et anniversaire, idéal pour fraudes et vols d'identité. Une base "masterdeeds.sql" sur un serveur public, exposée sept mois, est en cause. Dracore l'avait agrégée, Jigsaw Holdings l'a fuitée.
Troy Hunt de Have I Been Pwned a alerté sur cette catastrophe.
En 2016, Modern Business Solutions (MBS) a exposé 58 millions de dossiers consommateurs via une base MongoDB non sécurisée. Un hacker l'a téléchargée, partagée publiquement et annoncée sur Twitter.
Données incluses : noms, dates de naissance, emails, adresses, postes, téléphones, véhicules, IP.
Dès 2013, des hackers ont pillé les serveurs de courtiers comme LexisNexis, Dun & Bradstreet et Kroll via des failles, vendant les données sur SSNDOB : SSN, crédit, antécédents, adresses, même pour célébrités comme Michelle Obama.
Le FBI a enquêté après une intrusion par des hacktivistes.
UpGuard a révélé en 2017 l'exposition par Alteryx (partenaire d'Experian) de données sur 123 millions de foyers : adresses, contacts, hypothèques, finances, achats.
"Un aperçu invasif de la vie des Américains", dixit UpGuard. Cela rappelle l'ampleur des données collectées lors de simples navigations.
Au-delà de Cambridge Analytica, le quiz myPersonality de l'Université de Cambridge a exposé 3 millions de profils Facebook et résultats psychologiques pendant 4 ans via des identifiants publics.
"Un nom d'utilisateur et mot de passe étaient trouvables en une minute", note New Scientist.
En 2017, une base Dun & Bradstreet sur employés gouvernementaux et entreprises US fuitait 33 millions de records : noms, postes, salaires, contacts. Principalement Département de la Défense, risqué pour la sécurité nationale.
Troy Hunt a averti : "Nous avons perdu le contrôle de nos données personnelles."
Dans ces cas, les victimes ignoraient souvent la collecte et le partage de leurs données. Vérifiez les politiques de confidentialité et les breaches potentielles.
Les entreprises agrègent des masses de données : adoptez une posture proactive pour protéger votre vie privée. Consultez notre guide dédié.
Crédit image : AllaSerebrina/Depositphotos
