• Plidetwal Studio

Une fuite de données revèle des informations concernant la majeure partie de la population du Bresil

C'est une des plus grosses fuites de l'histoire : gigantesque en volume, dangereuse dans le détail des données, très facile à se procurer

Difficile d’imaginer pire désastre. Mardi 19 janvier, l’entreprise de sécurité PSafe identifiait une fuite très inquiétante, puisqu’elle permettait d’accéder à plusieurs données critiques de plus de 220 millions de Brésiliens, soit plus que le total de la population (et pour cause : la base contient aussi des données de personnes décédées).

Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un malfaiteur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’en plus, il les avait mis en ligne sur un forum de vente accessible à n’importe qui. Une partie des données peut se télécharger gratuitement, l’autre s’achète au détail.


Si l’on parle de données critiques, c’est notamment parce que la base contient le « Cadastro de Pessoas Físicas » (CPF) des victimes, et même dans certains cas une photocopie de la carte sur lequel ce numéro est inscrit. En France, l’équivalent du CPF serait le numéro fiscal, l’identifiant lié au paiement des impôts. La seule présence du CPF suffit à envisager des risques de fraude ou d’usurpation d’identité.

Mais en plus, il s’accompagne d’une variété de données d’une précision effrayante. Prenez une grande respiration, voici une liste non exhaustive de ce que contient la base sur chaque individu, ou presque :

  • Nom, prénom, date de naissance, nom des deux parents, statut marital, niveau d’éducation.

  • Email, numéro de téléphone, adresse (nom précis de la rue, mais aussi coordonnées GPS).

  • Plusieurs équivalents du numéro de sécurité sociale, et le détail de certaines prestations régulières, similaires à celles de la caisse d’allocation familiale française.

  • Des détails sur le foyer : nombre de personnes, niveau de revenu.

  • Des détails sur le travail : nom et identifiant légaux de l’employeur, type d’emploi, statut du poste, date d’embauche, salaire, nombre d’heures par semaine.

  • Des estimations de revenu : ce calcul prend en compte le salaire, le loyer, ou encore la perception d’une éventuelle rente. Ces données servent à classer les personnes par niveau de classe sociale (baisse, moyenne, haute) et par niveau de revenu.

  • Toutes sortes de données financières : le détail du score de crédit ; le nom des débiteurs et le statut des dettes ; l’identifiant de la banque des mauvais payeurs.

Le revendeur a donné au fichier le nom « Serasa Experian », nom d’une entreprise brésilienne spécialisée dans le crédit. Bien qu’on ne puisse croire sur parole le cybercriminel, la base contient plusieurs calculs financiers utilisés par Seresa Experian, dont celui de Mosaic, un de ses services de classification dédiés au ciblage publicitaire. L’entreprise incriminée a déclaré qu’elle avait ouvert une enquête, mais qu’elle n’avait pour l’instant trouvé aucune trace d’intrusion sur son système.


Source: https://cyberguerre.numerama.com/

158 vues0 commentaire

Actualités

A Singapour, l’épidémie de #COVID2019 révèle la précarité des 300 000 travailleurs migrants : la promiscuité dans laquelle ils vivent réunit toutes les conditions d’une propagation maximale du coronavirus.