Un marché en ligne chinois a apparemment divulgué sans le savoir des centaines de milliers de dossiers clients hautement sensibles qui auraient facilement pu être utilisés pour une usurpation d’identité (s’ouvre dans un nouvel onglet) et d’autres formes de cybercriminalité, selon un nouveau rapport.
Le chercheur Jeremiah Fowler a découvert un marché louche appelé Z2U conservant une base de données non verrouillée sur un serveur cloud hébergeant environ 600 000 enregistrements.
Alors que Z2U se présente comme un « environnement commercial fiable » pour les joueurs, Fowler a découvert de nombreux articles en vente qui pourraient facilement être classés comme illégaux, notamment les comptes Facebook et Instagram, l’accès à HBO, Netflix, Disney+ et d’autres services de streaming, les clés de licence Windows, les logiciels malveillants, les virus, etc., étaient tous disponibles à l’achat.
Information sensible
Pour s’inscrire sur le site, un utilisateur doit passer la vérification KYC (Know Your Customer) et doit fournir une image non altérée d’un document d’identité, comme une carte d’identité ou un passeport.
Cependant, ces informations, y compris des photographies d’utilisateurs détenant leurs documents d’identité, se trouvaient dans la base de données non protégée découverte par Fowler.
En outre, la base de données contenait des enregistrements montrant les paiements de transactions bancaires qui comprenaient les numéros IBAN, les identifiants des utilisateurs, les e-mails, les mots de passe des comptes, les confirmations de commande avec les noms des acheteurs, les e-mails, les détails d’achat, etc.
La base de données était hébergée sur un serveur situé en Chine, a encore expliqué Fowler, affirmant avoir vu un « grand nombre » de documents et de noms de fichiers en chinois.
« La vente de comptes, de clés de licence et d’accès à des jeux, des services et des applications logicielles sous licence pourrait avoir des implications importantes sur la propriété intellectuelle », a-t-il déclaré.
De nombreuses adresses e-mail de connexion au compte qu’il était en vente utilisaient également des comptes de messagerie russes. « Il est bien connu dans la communauté de la sécurité que la Russie et la Chine sont parmi les sites les plus actifs pour la cybercriminalité et les deux pays ont la réputation d’être profondément engagés dans le dark web ou les activités malveillantes en ligne. »
Une semaine après avoir découvert la base de données et notifié Z2U, la société a verrouillé la base de données, et Fowler n’a pas mentionné avoir trouvé de preuve que les données étaient réellement utilisées dans la nature – cependant les utilisateurs doivent toujours agir avec prudence.