Une
Une fuite de données a révélé 426 millions de données personnelles et 109 millions d’informations provenant des CNPJ et des plaques d’immatriculation. Tout cela se trouvait dans une base de données qui pouvait être trouvée et consultée par toute personne ayant accès à Internet – il suffit d’accéder au site et de faire une recherche.
Site Web public autorisé à accéder sans mot de passe (Image : Markus Spiske/Unsplash)
La banque contient des informations telles que le nom, le numéro de sécurité sociale, l’adresse, le sexe, la date de naissance, l’e-mail et le revenu des individus, ainsi que des contrats avec des entreprises de téléphone et de télévision, avec numéros, type de plan, date d’embauche et le mode de paiement, entre autres. C’est pourquoi on pense qu’il est lié à des fuites provenant d’entreprises de télécommunications.
L’incident a été découvert par le laboratoire de sécurité numérique PSafe. La société affirme que son outil d’entreprise dfndr est capable de scanner l’Internet ouvert, le Deep Web et le Dark Web, en utilisant l’intelligence artificielle pour détecter les données exposées.
Dans un communiqué, la société déclare avoir préparé un rapport et l’avoir envoyé à l’Autorité nationale de protection des données (ANDP), l’entité responsable de la surveillance du respect de la loi générale sur la protection des données (LGDP). Depuis août 2021, elle a pu infliger des amendes aux entreprises qui enfreignent cette loi.
Selon Emilio Simoni, directeur de la sécurité chez PSafe, la base de données a été trouvée par le laboratoire dfndr de l’entreprise le 19 septembre. Comme il englobe de nombreuses données personnelles, Simoni considère qu’il s’agit d’une compilation d’autres fuites possibles.
Le principal risque est l’application d’escroqueries : à partir de la possession de ces informations, les cybercriminels peuvent utiliser l’ingénierie sociale pour contacter les victimes par le biais de messages et d’appels téléphoniques et gagner la confiance nécessaire pour prendre de l’argent. Une autre possibilité est la location de services et de prêts non autorisés.
Les
fuites précédentes contenaient des informations similaires
Les soupçons selon lesquels cette base de données est enrichie par des fuites antérieures et est liée à des compagnies de téléphone rappellent un incident survenu en février 2021. À l’époque, 100 millions de numéros de téléphone étaient affichés sur le Dark Web. Parmi eux, il y avait celui du Président de la République, Jair Bolsonaro, et ceux des présentateurs William Bonner et Fátima Bernardes. Dans cet épisode, le cybercriminel a également affirmé avoir des informations sur les factures de téléphone, les dettes impayées et la valeur des factures.
L’épisode de février 2021 n’est pas le seul à avoir des données similaires. En janvier, une fuite révélée par info contenait des panneaux et d’autres informations – telles que le châssis, la marque et le modèle, la couleur, le type de carrosserie et le modèle/année, en plus des données sur le propriétaire et l’achat – de plus de 100 millions de véhicules, pratiquement tous existant au Brésil.