IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens
L'incident a été signalé par le dfndr lab, le laboratoire de cybersécurité de Psafe

Le , par Nancy Rey
5 commentaires

219PARTAGES

4  0 
Mardi 19 janvier, le dfndr lab, le laboratoire de l’entreprise de cybersécurité PSafe signalait une fuite de données très inquiétante au Brésil. Les données en question permettent d’accéder à plusieurs informations sensibles de plus de 220 millions de Brésiliens, soit plus que le total de la population ; et pour cause : la base contient aussi des données de personnes décédées. Quelques jours plus tard, on découvre que non seulement un malfaiteur avait décelé la fuite et téléchargé les données, mais qu’en plus, il les avait mis en ligne sur un forum de vente accessible à n’importe qui. Cet ensemble de données personnel comprend : le Cadastro de Pessoas Físicas (CPF) des victimes, une photo du visage, une adresse, un numéro de téléphone, un courriel, un score de crédit, un salaire, un revenu et bien plus encore une partie des données peut se télécharger gratuitement, l’autre s’achète au détail.

Notons que si l’on parle de données critiques, c’est principalement parce que la base contient le CPF des victimes, qui est leur numéro d'enregistrement de contribuable national. En France, l’équivalent du CPF serait le numéro fiscal, l’identifiant lié au paiement des impôts. La seule présence du CPF suffit à envisager des risques de fraude ou d’usurpation d’identité.

Une partie des dossiers inclus dans la fuite


Deux fuites de données distinctes

La première fuite ne comporte que le nom complet, le CPF, la date de naissance et le sexe : elle est disponible en téléchargement gratuit sur un forum bien connu pour la diffusion de ce genre d'informations. Le fichier de 14 Go contient les données de 223,74 millions de CPF distincts et a apparemment été compilé en août 2019. Il est disponible sur l'internet ouvert et non sur la toile noire : le lien a même été indexé par la recherche Google. Le nombre de personnes touchées est plus important que la population brésilienne, car la base de données inclut également les personnes décédées.

La seconde fuite apporte des informations provenant des mêmes 223,74 millions de personnes et aurait également été compilée en août 2019. Il a été publié par le même utilisateur sur le forum et comprend les CPF. Dans ce cas, seul l'aperçu est disponible gratuitement : celui qui veut le paquet complet doit dépenser de l'argent. Les prix varient de 0,075 à 1 dollar US par CPF, selon la quantité achetée. Le paiement est effectué en bitcoins uniquement.

Dans un communiqué de presse, le directeur du laboratoire du dfndr, Emilio Simoni, a expliqué que le plus grand risque est que ces données soient utilisées dans des escroqueries de phishing, dans lesquelles une personne est incitée à fournir des informations plus personnelles sur une fausse page. Simoni précise également que, puisqu'il s'agit d'informations précieuses pour le marché, on suppose qu'elles sont échangées illégalement dans un quelconque forum du web noir. Alors qu'une partie des bases est mise à disposition pour des tests, dit-il, les cybercriminels vendent « les données les plus approfondies, telles que les courriels, les téléphones, les données sur le pouvoir d'achat et l'occupation des personnes concernées.

Le Brésil va devoir gérer une crise de cybersécurité nationale, et une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits comme grands. D’autres utilisations pourraient avoir d’encore plus grandes conséquences. À l’heure où la menace rançongicielle plane sur les entreprises, ce genre de fuite en augmente considérablement les risques. La nouvelle loi sur la sécurité de la protection des données prévoit des amendes pouvant atteindre 50 millions de R$ pour une infraction de ce type.


Les informations qui ont été exposées dans la fuite de données

Au total, il existe 37 bases qui comprennent toutes sortes de données personnelles, notamment le RG, l'état civil, la liste des parents, l'adresse complète (avec latitude et longitude), le niveau d'éducation, le salaire, le revenu, le pouvoir d'achat... Mais en plus, il s’accompagne d’une variété de données d’une précision effrayante. Voici une liste non exhaustive de ce que contient la base sur chaque individu :

  • nom, CPF, sexe, date de naissance, nom du père, nom de la mère, statut marital ;
  • lien familial : catégorise les personnes selon le lien du 1er degré (mère, père, fils, fille, frère, sœur, conjoint) ou du 2e degré (grand-père, petit-fils, oncle, neveu, cousin, etc.) ;
  • email ;
  • téléphone : numéro, opérateur, plan, type de ligne (fixe, prépayée, postpayée), date d'installation ;
  • adresse : adresse, numéro, quartier, ville, état, code postal, type (résidentiel / commercial), latitude et longitude ;
  • foyers : CPF du chef de famille, nombre de personnes, tranche de revenu, adresse complète ;
  • éducation : niveau (analphabète / primaire / technique / supérieur, etc.) ;
  • étudiants universitaires : 1 643 105 personnes avec le nom du collège, le cours, l'année d'entrée et l'année d'obtention du diplôme ;
  • profession : position, numéro CBO (Classification brésilienne des professions) ;
  • emploi : nom de l'employeur, type de caution (CLT, freelance, serveur, apprenti, etc.), date d'admission, salaire, heures de travail par semaine ;
  • salaire : valeur, type (mensuel, bihebdomadaire, hebdomadaire, etc.), heures par semaine ;
  • revenu : montant mensuel (comprend le salaire, les loyers, les intérêts perçus, etc.), classe sociale (faible, moyenne, élevée), tranche de revenu ;
  • la classe sociale (A1, A2, B1, B2, C1, C2, D, E) ;
  • pouvoir d'achat : niveau (faible, moyen, élevé), revenu, salaire ;
  • bourse familiale : montant, statut de la prestation (libérée / bloquée), statut de la prestation (active / inactive), nombre et nom des personnes à charge, numéro d'identification sociale ;
  • numéro d'inscription sur les listes électorales, zone, section, adresse, municipalité, État ;
  • CNS (Carte nationale de santé) ;
  • NIS (numéro d'identification sociale) ;
  • INSS : nom de l'assuré, numéro de prestation, date de début, espèces (retraite, pension, allocation de maternité, etc.) ;
  • IRPF (impôt sur le revenu) : nom de l'établissement bancaire, code de l'agence, lot de remboursement ;
  • Revenu fédéral : situation cadastrale (titulaire régulier / suspendu / annulé / décédé) ;
  • score de crédit : activité de crédit, score de risque, niveau de risque (faible / moyen / élevé) ;
  • les débiteurs : nom, type de débiteur (principal, coresponsable), situation (actif, en recouvrement, jugé), type de dette (amende, impôt sur le revenu, PIS, etc.), montant, allé au tribunal ? (oui / non) ;
  • chèques sans fonds : code bancaire et agence, motif (pas de fonds / compte fermé) ;
  • Mosaïque : groupe et sous-groupe de segmentation ;
  • affinité : niveau de précision, percentile ;
  • Modèle analytique : permet aux consommateurs d'avoir une affinité pour l'achat d'un produit ou d'un service ;
  • photos de visages : 1 176 157 images JPEG avec des dates entre 2012 et 2020 ;
  • le nom du fichier est le CPF de la personne correspondante ;
  • LinkedIn : 5 051 553 profils de réseaux sociaux avec numéro d'identification et accès URL ;
  • entreprise : nom de l'associé d'une société, participation (parts et %), raison sociale et nom fictif de la société date d'entrée dans la société ;
  • fonctionnaires : description du poste, capacité, exercice, revenu brut, état, obligation, retraite (oui / non) ;
  • conseil : 2 260 960 personnes fournissant des conseils dans la sphère publique ou privée, y compris le code de situation, de spécialité et de profession ;
  • décès : date du décès, âge, date du certificat de décès, nom et adresse du notaire.


Source : dfnd/PSafe

Et vous ?

Quel est votre avis sur le sujet ?
Cette situation vient encore rappeler combien avoir un mot de passe fort et unique est important. Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?

Voir aussi :

60 % des incidents de cybersécurité et la majorité des fuites de données en entreprise sont l'œuvre des employés « à risque de fuite », qui prévoient de quitter leur emploi, selon un rapport

Une fuite de données a révélé les renseignements personnels de plus de 3000 utilisateurs de Ring, mais la société a nié que ses systèmes avaient été compromis

Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs, via un serveur Elasticsearch non sécurisé

Une erreur dans cette actualité ? Signalez-nous-la !

5 commentaires
Commenter Signaler un problème
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 26/01/2021 à 14:45
Pire que tout, cela en révèle beaucoup sur ce que les états savent de nous. Et si un bourrin de pirate arrive à les hacker, que penser de la NSA ? Les mégabases deviennent des dangers publiques. Je me tourne vers la France et l'Europe qui, pour des raisons pratiques, raffolent de cette solution.
1  0 
MRSizok
Avatar de MRSizok
Membre averti https://www.developpez.com
Le 26/01/2021 à 13:50
C'est sacrément violent....
0  0 
Arya Nawel
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 26/01/2021 à 15:22
Même si cela semble énorme, ce n'est pas nouveau pour les Brésiliens. On sait qu'il y est d'acheter des DVD contenant des données personnelles de millions de clients brésiliens dans 'les rues de Sao Paolo.

Il ya quelques années j'ai lu des articles qui ont été publiés à ce sujet. Meme les données de l'ancien président y figurait. Numéro de sécurité sociale, adresse, nom, numéro de téléphone et même quelques relations familiales. Et c'était assez bon marché.
0  0 
Refuznik
Avatar de Refuznik
Membre éclairé https://www.developpez.com
Le 26/01/2021 à 17:56
Punaise, c'est pire qu'un crédit social ce truc !
0  0 
Avatar de
https://www.developpez.com
Le 26/01/2021 à 19:22
Bonsoir,

Quel est votre avis sur le sujet ?
Pour avoir déjà travaillé avec des sud américains en terme de BDD et de sécu informatique, la sérieux est à l'image des pays = folklorique ... Le "gestion saine" des données, aussi bien personnelles que de toute nature, relève parfois de l'inentendement en Amérique du sud ... Normes non respectées, manque de normalisation dans la saisie , le contrôle des données et la traçabilité une véritable passoire ... La sécurité de informatique est allégrement bafouée ...

En gros ces pays travaillent comme nous il y a 20 ans ... avec les solutions d'aujourd'hui. Le RGPD est juste une vaste blague pour eux.

Cette situation vient encore rappeler combien avoir un mot de passe fort et unique est important. Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?
Ce n'est pas une affaire de mot de passe. C'est une affaire de négligence et c'est toute la chaine de valeur d’exécution et d'ordre qui est responsable ... Du responsable politique et en entreprise ouvertement corrompu à l’exécutant qui ferme les yeux contre des pots de vin ...

Puis c'est pas comme ci que l'administration publique brésilienne , exotique soit elle , est aussi connue pour son incurie et sa très mauvaise gestion !

Dans le même acabit : 42 millions de mexicains de siphonnés : https://www.zataz.com/42-millions-de...-informatique/

On peut clairement dire ici que les piratages ont cartonnés en Amérique du sud !
0  0