J’ai reçu ce mail [RESOLU]

Accueil Forums Virus et Antivirus Questions diverses / demandes de conseils. J’ai reçu ce mail [RESOLU]

  • Créateur
    Sujet
  • #43005
    Non abonné
    Participant

    … en provenance de chez "haveibeenpwned.com" où je m'étais inscrit il y a
    quelques lustres:

     You've been pwned!

    You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

    Breach:            Verifications.io

    Date of breach:           25 Feb 2019

    Compromised data:    Dates of birth, Email addresses, Employers, Genders, Geographic locations, IP addresses, Job titles, Names, Phone numbers, Physical addresses

    Description:     In February 2019, the email address validation service verifications.io suffered a data breach. Discovered by Bob Diachenko and Vinny Troia, the breach was due to the data being stored in a MongoDB instance left publicly facing without a password and resulted in 763 million unique email addresses being exposed. Many records within the data also included additional personal attributes such as names, phone numbers, IP addresses, dates of birth and genders. No passwords were included in the data. The Verifications.io website went offline during the disclosure process, although an archived copy remains viewable.

    Number of accounts:  763,117,241

    Je ne suis pas inquiet, l'adresse mail concernée étant déjà contaminée depuis longtemps :cry: .

    Ma question concerne le site percé: c'est quoi ce service de validation des adresses mails?

    Si quelqu'un dans la salle peut m'éclairer, merci à lui/elle. :yes:

    :bye:   :bye:   bonjour et au revoir

Affichage de 10 réponses de 1 à 10 (sur un total de 10)
  • Auteur
    Réponses
  • #43017
    Avatar photoAZAMOS
    Modérateur

    Salut ermo, :bye:

    Tu trouveras toutes les réponses sur cet article : https://www.blogdumoderateur.com/800-millions-emails-faille/

    Donc Verification.io est une société de vérification d'email : on peut utiliser pour voir si une adresse mail est valide.

    Le double tranchant de ce genre de site, c'est que si ils sont piratés (la preuve ici), et bien les adresses mails testées par un quidam se verra aller grossir les listings des pirates qui utilises les spams pour nous infecter.

    Voilà pourquoi personnellement je ne teste jamais ma/mes propres adresses mail sur ces sites (tel "Havebeenpwned.com") car automatiquement ton adresse reste enregistrée sur leur base.... et si une personne malintentionnée y a accès... :-(

    #43022
    Non abonné
    Participant

    Salut Azamos,

    Merci pour ces éclaircissements et pour le lien tout à fait instructif. :yes:

    Toutefois quelque chose me chiffonne encore. Je sais, je suis pénible bg

    Comment Vérification.io vérifie-t-il la validité d'une adresse et pourquoi stocke-t-il celles qu'il vérifie? Il semble en outre qu'ils aient accès  à pas mal de données, bien au delà de  la simple existence d'une adresse mail ???

    En l'occurrence  si j'ai bien compris,  ça n'est pas haveibeenpwned.com (à qui j'ai bien confié une adresse usée jusqu'à la corde) qui a fuité mais bien le site de vérification, lequel l'a obtenue non pas par mes soins mais d'un site tiers  voulant s'assurer de mon sérieux :wacko:   Ha! Ha ! Machinpwned m'informe simplement du piratage de Vérification.nul.

    On peut d'ailleurs s'interroger sur l' intérêt de ces vérifications tant ouvrir un compte bidon est aisé.

    C'est égal, on ne peut vraiment plus se fier à personne. :negative:

    :bye:

    #43023
    Avatar photoAZAMOS
    Modérateur

    Je n'ai pas dis que  haveibeenpwned.com s'est fait piraté, mais que de tel sites peuvent l'être (ici c'est Verification.io) ; comme tout site " haveibeenpwned.com" est une cible potentielle...

    A savoir : les sites marchands (et autres) automatisent la vérification des adresses email des nouveaux inscrits, en consultant justement des sites tel "Verification.io". L’intérêt d'un pirate d'avoir de tel listes c'est de pouvoir soit revendre, soit utiliser ces listes pour faire des campagnes de spam et autres saloperies : il est sûr que ce sont toutes des adresses fonctionnelles à quelques exceptions près.

    #43025
    Non abonné
    Participant

    Je n’ai pas dis que haveibeenpwned.com s’est fait piraté, mais que de tel sites peuvent l’être (ici c’est Verification.io) ; comme tout site » haveibeenpwned.com » est une cible potentielle…

    J'avais bien compris, d'autant plus que, méfiant moi-même,  j'avais utilisé une adresse dont je me doutais qu'elle avait été piratée pour tester haveibeenpwned.com, en me gardant bien d'y laisser une adresse plus sensible.

    Ce que j'aimerais comprendre c'est comment le site Verif.passoire procède pour vérifier qu'une adresse est valide et pour collecter des données telles que " données personnelles (âge, sexe, ville, numéro de téléphone, mais aussi données financières et comptes de réseaux sociaux liés à l’adresse mail)" comme précisé dans ton lien.

    :unsure:

    #43027
    Avatar photoAZAMOS
    Modérateur

    Pour beaucoup c'est juste une recherche en liant l'adresse mail : le site "x" et le site "y" a soumis la même adresse, et ainsi ils font un recoupage.

    Ensuite il y a l'IP d'origine qui donne une géolocalisation plus ou moins pertinante.

    Après il y a les "aspirateurs" de forum qui réussissent à récupérer les données "publique", du genre "consulter le profil de toto haribo" sur "la_culture_des_carottes.com", profils où beaucoup laissent des données essentielles sans se rendre compte de ce qu'ils font.

    C'est ce que l'on appel le "Big Data", où toutes les infos laissées à droite et à gauche sont recoupées et rassemblées. Bienvenu au XXIème siècle ! :cry:

    #43028
    Vulcain
    Participant

    Bonjour

    Un élément simple, par regroupement par exemple via téléphone.

    Avec géolocalisation, numéro tel, annuaire tu as le nom, prénom, adresse, ville etc...

    les moyens ne manquent pas, alors imagine avec une synchronisation Téléphone /PC.

    Pour le site de vérification, il est peut être en relation avec le RGPD qui lui avec le CJUE pour l'aspect juridique. Le site est aussi sous forme de société donc lié.

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #43031
    Non abonné
    Participant

    Merci à vous deux,

    C'est plus clair pour moi même si ça reste nébuleux mais ça me semble lié au sujet: en gros des techniques de hacker pour rassembler en toute légalité des infos à revendre, car je suppose qu'ils ne font pas ça bénévolement.

    Tout de même étonnant que la CNIL donne son aval pour ce type de pratique, d'autant que la façon dont les données sont  conservées donne une idée du sérieux et de la compétence de la boîte. Bonjour la protection des données  crr

    Si j'en ai le courage je tenterai un petit courriel à la CNIL pour tenter d'en savoir plus. Si jamais ils me répondent, j'en ferai part ici.

    En attendant on pet boucler si vous voulez.

    :bye:

    #43032
    Avatar photoAZAMOS
    Modérateur

    Je doute (malheureusement) que la CNIL puisse y faire grand chose : dans beaucoup de site les CGU permettent ce type de collecte ; de plus "normalement" ces sites de vérification ne sont pas là pour revendre ou diffuser les données à l'extérieur. Cependant elles ont besoin d'avoir une base de travail/données pour rendre un service efficace.

    Là où le bât blesse, c'est que s'ils se font hacker c'est des Giga et des Giga de données personnelles qui partent sur la Toile. :-(

    Je met en résolu, mais la discussion peut bien entendu se poursuivre éventuellement. :yes:

    #43051
    Vulcain
    Participant

    :bye:

    Le travail de la CNIL ou RGPD ou ANSSI ou … s'arrête à la communauté Européenne.

    Et comme les principaux Hackeurs sont des Etats -Unis, Asie ou Afrique, les dossiers remontent à la CJUE, mais pour aboutir c'est quasi nul.

    Par contre un Hackeur Européen, lui doit faire gaffe.

    Tant que les gents ne se plaignent pas des sites, ils font comme ils veulent, sans plaintes pas de dossier. Et le plus compliqué et que plus on mets de contrôles, plus tu auras de contrainte et plus tu sera contrôlé, alors ou s'arrête la confidentialité et la liberté. Et de plus les règles de RGPD ne s'applique pas au Cloud et réseau sociaux comme les répertoires téléphoniques.

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #43054
    Avatar photoG r e y Cat
    Participant

    Bonjour

    meme article qui confirme la fuite

    Verifications.io !!!!!!!!!!!!!!

    article à lire : https://www.clubic.com/pro/legislation-loi-internet/donnees-personnelles/actualite-851696-800-emails-echappent-base-donnees-surveillee.html

Affichage de 10 réponses de 1 à 10 (sur un total de 10)
  • Vous devez être connecté pour répondre à ce sujet.