La relation opposée entre la vie privée des utilisateurs et les ventes publicitaires des entreprises continue de faire la une des journaux alors que Facebook et d'autres entreprises sont amenées à rendre compte de leur utilisation des données personnelles.
Mais ce n'est pas une tendance récente, car les entreprises ont à plusieurs reprises compromis les données personnelles au fil des ans dans le but de stimuler la croissance et les revenus. Voici quelques occasions remarquables où la collecte de données a mis vos informations personnelles en danger.
LocalBlox est un agrégateur de données de médias sociaux qui a récemment fait la une des journaux pour toutes les mauvaises raisons. C'est après que la société de cybersécurité UpGuard a découvert que LocalBlox avait laissé les données de 48 millions de comptes exposées.
"L'équipe UpGuard Cyber Risk peut désormais confirmer qu'un référentiel de stockage en nuage contenant des informations appartenant à LocalBlox, un service de recherche de données personnelles et professionnelles, a été laissé accessible au public, exposant 48 millions d'enregistrements d'informations personnelles détaillées sur des dizaines de millions d'individus, rassemblés et extraits de plusieurs sources", a déclaré UpGuard dans un rapport.
Mais les données divulguées n'incluaient pas seulement les détails des médias sociaux. Il comprenait beaucoup plus d'informations personnelles. Les données exposées comprenaient de vrais noms, des adresses physiques, des anniversaires et plus encore. En plus de cela, les données des utilisateurs comprenaient également des détails provenant de divers réseaux tels que LinkedIn, Facebook et Twitter.
Comme le souligne UpGuard, les criminels utilisent ces données pour une multitude d'escroqueries, allant des tentatives et attaques de phishing d'ingénierie sociale, de la manipulation sociale et du vol d'identité.
En 2017, une société de données engagée par le Comité national républicain (RNC) a compromis les données de la quasi-totalité des 200 millions d'électeurs inscrits aux États-Unis.
La société, Deep Root Analytics, a fourni des profils d'électeurs américains sur la base de leurs informations personnelles. Pour collecter ces données, elle a collaboré avec deux autres cabinets :Targetpoint Consulting et DataTrust.
Il en a résulté une vaste collecte d'informations. Les informations divulguées comprenaient des noms, des adresses et des numéros de téléphone. Les données comportaient également des modèles qui prédisaient l'ethnicité et la religion d'une personne.
La fuite a donné lieu à un recours collectif contre Deep Root Analytics. Après tout, l'entreprise a exposé plus de 1,1 téraoctet de données sur son serveur cloud non sécurisé.
Bien que les sociétés d'agrégation de données soient légales, tous les collecteurs de données ne travaillent pas dans les limites de la loi. Ce fut le cas pour City River Media (CRM), une énorme opération de spam illégale qui a accidentellement divulgué les données de plus d'un milliard d'utilisateurs.
La fuite a compromis 1,4 milliard de comptes de messagerie combinés avec de vrais noms, des adresses IP d'utilisateurs et parfois des adresses physiques.
Comment est-ce arrivé? Selon les enquêteurs du MacKeeper Security Research Center, CSOOnline et Spamhaus; des sauvegardes Rsync mal configurées ont laissé les données vulnérables.
Le seul avantage à en tirer est que le CRM, qui se faisait passer pour une société de marketing légitime, a été exposé comme une opération de spam qui envoyait plus d'un milliard d'e-mails automatisés chaque jour. Chris Vickery de MacKeeper a pu accéder aux journaux Hipchat de CRM, aux enregistrements d'enregistrement de domaine, aux détails comptables, à la planification de l'infrastructure, aux notes de production, aux scripts et aux affiliations commerciales. Il a ensuite remis ces informations aux autorités.
Cependant, de nouvelles entreprises comme celle-ci apparaissent chaque jour, vous devez donc prendre des précautions pour protéger votre adresse e-mail des spammeurs.
Toutes les données personnelles divulguées ne sont pas le résultat d'une faille de sécurité ou d'une mauvaise configuration. Comme nous l'avons vu avec Facebook et Cambridge Analytica, il arrive que des services et des applications collectent des données auprès d'utilisateurs sociaux, puis les transmettent à un tiers.
La remise de données par Aleksandr Kogan à Cambridge Analytica a enfreint les conditions d'utilisation de Facebook. Mais le volume considérable de données récoltées a été recueilli dans les limites des politiques et de l'API de Facebook à l'époque.
De même, lorsque les utilisateurs ont découvert que des tiers avaient accès au statut sérologique des utilisateurs de Grindr, ils ont également découvert que cela fonctionnait comme d'habitude pour le réseau de rencontres LGBT. Les données comprenaient également la position GPS, l'identifiant du téléphone et l'adresse e-mail d'un utilisateur.
Les utilisateurs ont considéré cela comme une violation flagrante de leur vie privée. La société a partagé des informations médicales particulièrement sensibles et généralement confidentielles avec deux autres sociétés :Apptimize et Localytics.
Grindr a assuré aux utilisateurs qu'ils n'avaient pas vendu ni divulgué les données. Au lieu de cela, ils ont partagé les données pour aider à l'optimisation de l'application. Quoi qu'il en soit, la société a annoncé plus tard qu'elle ne partagerait plus le statut sérologique des utilisateurs avec des tiers.
Les experts en sécurité ont souligné que le partage de ces informations sensibles avec des tiers augmente la probabilité d'une fuite ou d'une violation. Heureusement, il existe des outils disponibles en ligne pour vous aider à vérifier si vos comptes en ligne ont été piratés ou compromis.
La plus grande fuite de données d'Afrique du Sud était si vaste que le nombre de dossiers personnels divulgués dépasse l'ensemble de la population du pays. Non seulement la fuite incluait les informations personnelles de la majorité des habitants du pays, mais également des personnes décédées. Les données comprenaient même les numéros d'identification (ID) de plus de 12 millions de mineurs.
Au total, les données ont révélé 60 millions de numéros d'identification uniques, ainsi que des informations personnelles telles que les coordonnées, les noms complets, etc. La fuite a été particulièrement grave car le numéro d'identification d'un citoyen sud-africain peut être utilisé pour glaner des informations personnelles à son sujet, telles que les anniversaires, le sexe et l'âge. Les criminels utilisent souvent ces numéros pour voler des identités ou commettre des fraudes.
Alors, comment ces données ont-elles fini par être exposées ? Une sauvegarde de base de données du nom de masterdeeds.sql a été trouvée sur un serveur public non sécurisé. L'expert en cybersécurité et fondateur de HaveIBeenPwned.com, Troy Hunt, a été informé des données, qui ont été exposées pendant au moins sept mois.
Une société nommée Dracore a agrégé les données et créé la base de données. Mais l'un de leurs clients, Jigsaw Holdings, a exposé les données avec un serveur non sécurisé.
Modern Business Solutions, une société de gestion de données basée aux États-Unis, s'est retrouvée du mauvais côté de l'opinion publique en 2016. Son laxisme en matière de sécurité a entraîné l'exposition de 58 millions de dossiers de consommateurs.
Un pirate a pu accéder et partager les informations de millions de personnes grâce à une base de données MongoDB non sécurisée. Le pirate a téléchargé la base de données, l'a téléchargée sur un site public, puis a partagé les liens sur Twitter. Les bases de données MongoDB mal configurées sont l'une des nombreuses façons dont les pirates volent des informations à des personnes sans méfiance.
Dans ce cas, les données exposées comprenaient les noms, les dates de naissance, les adresses e-mail et postales, les intitulés de poste, les numéros de téléphone, les données du véhicule et les adresses IP.
Les problèmes de confidentialité posés par les sociétés de collecte de données existent depuis un certain temps. Même en 2013, les dangers de la collecte de données sont apparus au premier plan lorsqu'il a été découvert que des pirates avaient accédé aux serveurs de plusieurs grands courtiers en données. Cet accès leur a permis de voler les informations de millions d'Américains.
Les pirates ont accédé à une grande partie de ces données via des serveurs mal configurés, des failles de sécurité et des bases de données non sécurisées et les ont téléchargées sur un site nommé SSNDOB. SSNDOB lui-même était également un agrégateur de données qui vendait des informations volées.
Les données volées comprenaient des numéros de sécurité sociale, des dossiers de crédit, des vérifications d'antécédents, des anniversaires, des adresses et d'autres données personnelles. Lorsque des adolescents hacktivistes ont violé SSNDOB, ils ont découvert à quel point les enregistrements étaient étendus. Même les adresses et les informations personnelles de célébrités telles que Kanye West, Jay Z et Beyonce; ainsi que des personnalités éminentes telles que la première dame de l'époque, Michelle Obama, étaient accessibles.
Le botnet de SSNDOB a accédé aux serveurs des principaux courtiers en données tels que LexisNexis Inc, Dun &Bradstreet et Kroll Background America Inc. Le FBI a finalement lancé une enquête sur l'affaire.
En 2017, UpGuard a découvert que la société d'analyse de données Alteryx avait exposé les données de 123 millions de foyers américains via un référentiel de données non sécurisé.
Les informations accessibles au public étaient particulièrement sensibles, car l'un des partenaires d'Alteryx est l'agence d'évaluation du crédit à la consommation Experian. Le référentiel comprenait les adresses personnelles, les coordonnées, les détails de l'hypothèque, les antécédents financiers et l'historique des achats. Toute personne disposant d'un compte Amazon Web Services peut accéder à ces informations.
UpGuard a décrit les données comme "un aperçu remarquablement invasif de la vie des consommateurs américains". Heureusement, les données ne sont plus accessibles au public, mais comme pour la plupart de ces fuites, on ne sait pas combien de personnes sont tombées par hasard et ont téléchargé les informations sensibles.
La fuite a également rappelé aux consommateurs la quantité de données personnelles que les entreprises collectent. Même une simple navigation sur Internet permet aux sites Web de collecter des informations personnelles vous concernant.
Les utilisateurs de Facebook sont encore sous le choc du scandale de Cambridge Analytica. Mais il semble que Cambridge Analytica n'était pas la seule à utiliser les questionnaires Facebook pour la collecte de données.
Selon New Scientist, des chercheurs de l'Université de Cambridge ont créé un quiz appelé myPersonality. Le quiz a recueilli des données sur les participants, que les chercheurs ont téléchargées dans une base de données en ligne. Des centaines de chercheurs d'autres institutions pourraient accéder à ces données à des fins de recherche.
Cependant, des mesures de sécurité insuffisantes ont exposé ces données pendant quatre ans. Alors que seule une connexion de collaborateur enregistrée pouvait accéder aux données, un ensemble d'informations d'identification de travail exposé compromettait toute sécurité.
"Au cours des quatre dernières années, un nom d'utilisateur et un mot de passe fonctionnels ont été disponibles en ligne et pouvaient être trouvés à partir d'une simple recherche sur le Web. Quiconque souhaitait accéder à l'ensemble de données aurait pu trouver la clé pour le télécharger en moins d'une minute", a déclaré New Scientifique dit.
Les données comprenaient les informations personnelles d'environ 3 millions d'utilisateurs de Facebook et leurs résultats de tests psychologiques.
En 2017, le public a découvert qu'une base de données Dun &Bradstreet sur les employés du gouvernement américain et des entreprises avait fait l'objet d'une fuite. Cela a révélé plus de 33 millions d'enregistrements, qui comprenaient des détails tels que les noms, les postes et fonctions, les salaires, les coordonnées et les adresses e-mail.
Si Dun &Bradstreet vous semble familier, c'est parce que leur base de données a été incluse dans la collection de SSNDOB (mentionnée plus haut). La société, qui agrège les données des employés et vend des dossiers aux spécialistes du marketing, a nié toute responsabilité dans la fuite. Ils ont créé la base de données, mais la source probable de la fuite était l'un de leurs milliers de clients.
Troy Hunt a découvert la fuite après qu'une source lui ait envoyé la base de données. Hunt a noté que les dossiers des employés du ministère de la Défense constituaient l'essentiel des données. Cela les expose à un risque particulier, car des titres de poste tels qu'analyste du renseignement, ingénieur chimiste, soldat et sergent de peloton ont été identifiés dans les données, ce qui les rend utiles aux agences étrangères qui pourraient vouloir infiltrer ou attaquer des rôles gouvernementaux spécifiques.
"Nous avons perdu le contrôle de nos données personnelles et comme [Tim] Berners-Lee l'a dit il y a quelques jours à peine, nous n'avons souvent aucun moyen de transmettre aux entreprises les données que nous préférons ne pas partager", a déclaré Hunt dans son rapport sur la fuite de Dun &Bradstreet.
La plupart des personnes touchées par la fuite n'auraient probablement aucune idée que les entreprises ont collecté leurs données et les ont vendues dans des listes soigneusement agrégées.
Dans bon nombre de ces incidents, vous ne pouvez pas blâmer les victimes des fuites de données pour que leurs informations soient tombées dans le domaine public. Au lieu de cela, les entreprises ont récolté ces données à partir de plusieurs services et enregistrements. Les consommateurs n'avaient souvent aucune idée que les entreprises partageaient ces données avec des tiers.
C'est pourquoi il est important de vérifier les politiques de confidentialité des services que vous utilisez. Vous devez également vous tenir au courant des violations et des fuites qui pourraient vous affecter.
Après tout, les entreprises en savent beaucoup plus sur vous que ce que vous attendez. Mais vous pouvez jouer un rôle plus actif dans la protection de vos données. Assurez-vous de consulter notre guide sur la façon de protéger votre vie privée en ligne.
Crédit image :AllaSerebrina/Depositphotos
