Une base de données non protégée expose 202 millions de CV de demandeurs d’emploi

Une base de données non protégée contenant 854 Go de données personnelles ne nécessitant aucune authentification par mot de passe ou login pour être consultée est en ligne depuis trois ans et contient les CV de plus de 202 millions de demandeurs d’emploi en Chine.

 

Lorsqu’il y a une brèche dans une base de données aux États-Unis ou en Europe, l’une des premières questions généralement posées est de savoir si le piratage provient de Russie ou de Chine. Or, la dernière faille de sécurité de base de données découverte se trouve en Chine, n’a nécessité aucun piratage et a touché plus de 202 millions de personnes qui auraient déjà pu être victimes d’un vol d’identité.

Comme le rapporte TechCrunch, la faille de sécurité a été découverte par le chercheur Bob Diachenko qui est le directeur de la recherche sur la cyber-sécurité chez Hacken.io et la plateforme de bogues HackenProof. Il a analysé les données du moteur de recherche Binary Edge et a découvert une base de données pouvant être consultée en ligne dans son intégralité sans qu’aucune authentification de sécurité ne soit nécessaire. Aucune protection par mot de passe ou système de connexion d’aucune sorte n’était présent.

Cela ne donnerait pas de signal d’alarme si les données n’avaient aucune valeur, mais c’est loin d’être le cas. Diachenko était tombé sur une base de données contenant plus de 202 millions d’enregistrements (202 730 434), chacun d’entre eux contenant un CV très détaillé de demandeurs d’emploi chinois. Les informations personnelles disponibles comprenaient « le numéro de téléphone portable, le courrier électronique, le mariage, les enfants, la politique, la taille, le poids, le permis de conduire, le niveau d’alphabétisation, les attentes salariales ». Au total, la base de données contenait 854 Go de données.

Les données semblent provenir d’un outil créé il y a trois ans, appelé simplement « importation de données », mais il n’est pas clair s’il s’agit d’un outil officiel utilisé par le gouvernement chinois ou une entreprise légitime, ou d’un outil illégal utilisé pour voler les données ailleurs. L’idée est que l’énorme base de données contient des données « grattées sur le web » provenant de nombreux sites de CV différents en Chine.

RELATIVES

*10 étapes essentielles pour protéger votre identité en ligne

À la nouvelle de la disponibilité de la base de données non sécurisée, celle-ci est rapidement devenue inaccessible. Mais cela ne sera pas d’une grande utilité pour les personnes dont les coordonnées y étaient répertoriées et qui pourraient s’en emparer pendant une période pouvant aller jusqu’à trois ans.