Plus de 711 millions d’identifiants de comptes mail en accès libre sur un serveur hébergé aux Pays-Bas : c’est ce qu’a découvert le chercheur en sécurité Benkow, qui s’est empressé de détailler ces trouvailles sur son blog ce 29 août.
Les comptes en question, listés dans de multiples fichiers texte avec leur serveur SMTP et port associé, sont utilisés dans un but bien précis : permettre au bot spammeur « Onliner » de contourner les filtres de spam en recourant à des adresses mail « authentiques », censés tromper la sécurité mise en place contre ce type de contenu. Une partie d’entre eux reprend ceux qui ont déjà été affectés par des piratages de grande ampleur, comme ceux de LinkedIn en 2012 et de Badoo en juin 2016.
La découverte est de taille, comme le précise Troy Hunt,l’expert en cybersécurité à la tête du site « Have I been pwned », qui permet de savoir en quelques secondes, à partir d’une adresse mail, si celle-ci a été victime d’un vol de données : « C’est une énorme liste [de spam]. […] La plus grande liste jamais mise en ligne sur Have i been pwned (HIBP) jusqu’ici est de 393 millions. […] Celle dont je parle aujourd’hui en compte 711 millions, ce qui en fait la plus importante jamais uploadée sur HIBP. » 27 % des mails découverts figuraient toutefois déjà sur le site.
Propagation du malware Ursnif
Benkow a quant à lui constaté que ce bot spammeur servait à propager un malware qui récolte les données personnelles de ses victimes — logins, informations de carte bleue… — : « Depuis 2016 au minimum, ce spambot est utilisé pour diffuser un trojan bancaire nommé Ursnif. J’ai vu ce spambot cibler des pays comme l’Italie ou encore des services comme les hôtels. »
Ursnif n’a pas chômé puisqu’il est à l’origine de plus de 100 000 infections dans le monde selon les précisions fournies par Benkow à ZDNet. L’efficacité de cette campagne d’infection tient notamment à l’identification opérée par les mails piégés : une fois qu’il a infecté sa victime, le hacker peut savoir à quel système d’exploitation il fait face, et donc se concentrer sur les utilisateurs de Windows plutôt que d’Android ou d’iOS.
Ce 29 août, Troy Hunt précisait : « L’adresse IP est basée aux Pays-Bas et Benkow et moi-même sommes en contact avec une source fiable sur place qui communique avec les forces de l’ordre afin de supprimer [le répertoire] au plus vite. »
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !