Des milliards de numéros de téléphone divulgués pourraient conduire à des prises de contrôle de comptes

Les données isolées sont rarement particulièrement précieuses si elles sont consultées de manière isolée. Cela s'est avéré une fois de plus vrai lorsque plus de 3,5 milliards de numéros de téléphone ont fui de Clubhouse - un service de médias sociaux se concentre sur l'interaction audio. Cependant, les données ne sont pas restées isolées pendant longtemps.

Initialement, une entité qui avait accès à la fuite de milliards de numéros de téléphone a publié les données sur un forum de piratage clandestin, gratuitement pour toute personne intéressée. Les choses sont devenues intéressantes lorsqu'un tiers s'est mis au travail avec la fuite de données. Un autre mauvais acteur a récupéré les chiffres divulgués et a commencé à les associer à une autre fuite de données composée de plus d'un demi-milliard de profils Facebook divulgués plus tôt en 2021.

Une fois que les deux ensembles de données ont été soigneusement appariés et jumelés, les données combinées valent maintenant soudainement 100 000 $ et sont en vente sur le dark web. ThreatPost a cité le point de vente de sécurité CyberNews, qui a indiqué que les données sont vendues à la fois en vrac et en petits morceaux, à des prix plus abordables.

Les données combinées nouvellement apparues peuvent désormais être utilisées à bon escient par de mauvais acteurs qui peuvent les utiliser dans le cadre d'attaques de prise de contrôle. Les organes de presse ont également cité le chercheur en sécurité Brian Uffelman, analyste chez PerimeterX, qui a déclaré que les tentatives de prise de contrôle de compte représentaient près de 85% du total des tentatives de connexion au cours du dernier semestre 2020 – un pourcentage incroyablement élevé.

Les données peuvent être utilisées pour un certain nombre de vecteurs d'attaque, de l' envoi de faux messages SMS dans ce que l'on appelle le smishing, avec un contenu crédible spécialement adapté, à la tentative de vol mineur de cartes-cadeaux et d'autres articles financièrement attrayants accessibles via des comptes compromis. Les données structurées comme celle-ci peuvent également être utilisées pour le ciblage et la personnalisation d'annonces de précision laser si elles sont achetées par des réseaux publicitaires.

Des incidents comme celui-ci montrent seulement que l'information peut avoir à la fois de la valeur et du pouvoir, en particulier lorsque des ensembles de données distincts sont combinés dans de nouvelles structures.