Type d’article :* fuite massive de données / menace liée aux infostealers
Source : WIRED
Découverte : Jeremiah Fowler (chercheur en sécurité)
Nature de l’incident : base de données publique non protégée
Période d’observation : plusieurs semaines avant suppression
🎯 Faits clés
Une base de données non sécurisée contenant 149 millions de paires identifiants/mots de passe a été découverte puis supprimée après signalement.
Les données étaient librement accessibles via un simple navigateur web et continuaient de croître pendant la période d’observation.
Les identifiants concernaient :
- 48 millions de comptes Gmail
- 17 millions de comptes Facebook
- 420 000 comptes Binance
- Yahoo, Outlook, iCloud
- Comptes bancaires, cartes de crédit
- Plateformes de streaming et réseaux sociaux
- Comptes gouvernementaux de plusieurs pays
- Comptes universitaires (.edu)
Le chercheur estime avec un haut niveau de probabilité que ces données ont été collectées via des malwares de type infostealer.
🧬 Origine probable des données
Selon l’analyse :
- Les logs étaient structurés, indexés et classifiés automatiquement
- Chaque enregistrement disposait d’un identifiant unique
- Le format correspond à des journaux massifs d’exfiltration automatisée
👉 Ces éléments sont typiques de :
- campagnes d’infostealers
- infrastructures de revente de logs (credential markets, initial access brokers)
La base était hébergée par un affilié canadien d’un hébergeur mondial, sans indication claire de l’opérateur final.
🧠 TTPs – MITRE ATT&CK (extraits)
Accès initial & collecte
- T1056.001 – Input Capture: Keylogging
- T1555 – Credentials from Password Stores
- T1539 – Steal Web Session Cookie (probable)
Exfiltration & stockage
- T1041 – Exfiltration Over C2 Channel
- T1567.002 – Exfiltration to Cloud Storage (base hébergée publiquement)
Monétisation / post-exploitation
- T1078 – Valid Accounts
- T1589.001 – Gather Victim Identity Information
- T1659 – Credential Harvesting Infrastructure (log repositories)
Il s’agit d’un article de presse qui rapporte une découverte et met en lumière l’ampleur d’une collecte d’identifiants potentiellement issue d’un infostealer.
📊 Ampleur et impact
| Service / catégorie | Volume estimé |
|---|---|
| Gmail | 48 000 000 |
| 17 000 000 | |
| Yahoo | ~4 000 000 |
| Outlook | ~1 500 000 |
| iCloud | ~900 000 |
| Comptes .edu | ~1 400 000 |
| Binance | ~420 000 |
| Netflix | ~3 400 000 |
| TikTok | ~780 000 |
| OnlyFans | ~100 000 |
💬 Analyse d’experts
“C’est une liste de rêves pour les criminels” — Jeremiah Fowler
“Les infostealers abaissent drastiquement la barrière d’entrée : pour 200–300 $ par mois, un cybercriminel peut récupérer des centaines de milliers d’identifiants” — Allan Liska, Recorded Future
🛡️ Recommandations de sécurité
- Changer immédiatement les mots de passe réutilisés
- Activer le MFA partout
- Utiliser un gestionnaire de mots de passe
- Surveiller les connexions anormales
- Scanner les postes pour infostealers (EDR / AV à jour)
- Considérer les identifiants exposés comme définitivement compromis
🔗 Source originale : https://www.wired.com/story/149-million-stolen-usernames-passwords/