J’ai reçu ce mail [RESOLU]
- Ce sujet contient 10 réponses, 4 participants et a été mis à jour pour la dernière fois par
, le il y a 5 années et 1 mois.
-
Sujet
-
… en provenance de chez "haveibeenpwned.com" où je m'étais inscrit il y a
quelques lustres:You've been pwned!
You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:
Breach: Verifications.io
Date of breach: 25 Feb 2019
Compromised data: Dates of birth, Email addresses, Employers, Genders, Geographic locations, IP addresses, Job titles, Names, Phone numbers, Physical addresses
Description: In February 2019, the email address validation service verifications.io suffered a data breach. Discovered by Bob Diachenko and Vinny Troia, the breach was due to the data being stored in a MongoDB instance left publicly facing without a password and resulted in 763 million unique email addresses being exposed. Many records within the data also included additional personal attributes such as names, phone numbers, IP addresses, dates of birth and genders. No passwords were included in the data. The Verifications.io website went offline during the disclosure process, although an archived copy remains viewable.
Number of accounts: 763,117,241
Je ne suis pas inquiet, l'adresse mail concernée étant déjà contaminée depuis longtemps
.Ma question concerne le site percé: c'est quoi ce service de validation des adresses mails?
Si quelqu'un dans la salle peut m'éclairer, merci à lui/elle.
bonjour et au revoir
-
Salut ermo,
Tu trouveras toutes les réponses sur cet article : https://www.blogdumoderateur.com/800-millions-emails-faille/
Donc Verification.io est une société de vérification d'email : on peut utiliser pour voir si une adresse mail est valide.
Le double tranchant de ce genre de site, c'est que si ils sont piratés (la preuve ici), et bien les adresses mails testées par un quidam se verra aller grossir les listings des pirates qui utilises les spams pour nous infecter.
Voilà pourquoi personnellement je ne teste jamais ma/mes propres adresses mail sur ces sites (tel "Havebeenpwned.com") car automatiquement ton adresse reste enregistrée sur leur base.... et si une personne malintentionnée y a accès...
Salut Azamos,
Merci pour ces éclaircissements et pour le lien tout à fait instructif.
Toutefois quelque chose me chiffonne encore. Je sais, je suis pénible
Comment Vérification.io vérifie-t-il la validité d'une adresse et pourquoi stocke-t-il celles qu'il vérifie? Il semble en outre qu'ils aient accès à pas mal de données, bien au delà de la simple existence d'une adresse mail ???
En l'occurrence si j'ai bien compris, ça n'est pas haveibeenpwned.com (à qui j'ai bien confié une adresse usée jusqu'à la corde) qui a fuité mais bien le site de vérification, lequel l'a obtenue non pas par mes soins mais d'un site tiers voulant s'assurer de mon sérieux
Ha! Ha ! Machinpwned m'informe simplement du piratage de Vérification.nul.On peut d'ailleurs s'interroger sur l' intérêt de ces vérifications tant ouvrir un compte bidon est aisé.
C'est égal, on ne peut vraiment plus se fier à personne.
Je n’ai pas dis que haveibeenpwned.com s’est fait piraté, mais que de tel sites peuvent l’être (ici c’est Verification.io) ; comme tout site » haveibeenpwned.com » est une cible potentielle…
J'avais bien compris, d'autant plus que, méfiant moi-même, j'avais utilisé une adresse dont je me doutais qu'elle avait été piratée pour tester haveibeenpwned.com, en me gardant bien d'y laisser une adresse plus sensible.
Ce que j'aimerais comprendre c'est comment le site Verif.passoire procède pour vérifier qu'une adresse est valide et pour collecter des données telles que " données personnelles (âge, sexe, ville, numéro de téléphone, mais aussi données financières et comptes de réseaux sociaux liés à l’adresse mail)" comme précisé dans ton lien.
Pour beaucoup c'est juste une recherche en liant l'adresse mail : le site "x" et le site "y" a soumis la même adresse, et ainsi ils font un recoupage.
Ensuite il y a l'IP d'origine qui donne une géolocalisation plus ou moins pertinante.
Après il y a les "aspirateurs" de forum qui réussissent à récupérer les données "publique", du genre "consulter le profil de toto haribo" sur "la_culture_des_carottes.com", profils où beaucoup laissent des données essentielles sans se rendre compte de ce qu'ils font.
C'est ce que l'on appel le "Big Data", où toutes les infos laissées à droite et à gauche sont recoupées et rassemblées. Bienvenu au XXIème siècle !
Merci à vous deux,
C'est plus clair pour moi même si ça reste nébuleux mais ça me semble lié au sujet: en gros des techniques de hacker pour rassembler en toute légalité des infos à revendre, car je suppose qu'ils ne font pas ça bénévolement.
Tout de même étonnant que la CNIL donne son aval pour ce type de pratique, d'autant que la façon dont les données sont conservées donne une idée du sérieux et de la compétence de la boîte. Bonjour la protection des données crr
Si j'en ai le courage je tenterai un petit courriel à la CNIL pour tenter d'en savoir plus. Si jamais ils me répondent, j'en ferai part ici.
En attendant on pet boucler si vous voulez.
Je doute (malheureusement) que la CNIL puisse y faire grand chose : dans beaucoup de site les CGU permettent ce type de collecte ; de plus "normalement" ces sites de vérification ne sont pas là pour revendre ou diffuser les données à l'extérieur. Cependant elles ont besoin d'avoir une base de travail/données pour rendre un service efficace.
Là où le bât blesse, c'est que s'ils se font hacker c'est des Giga et des Giga de données personnelles qui partent sur la Toile.
Je met en résolu, mais la discussion peut bien entendu se poursuivre éventuellement.
Le travail de la CNIL ou RGPD ou ANSSI ou … s'arrête à la communauté Européenne.
Et comme les principaux Hackeurs sont des Etats -Unis, Asie ou Afrique, les dossiers remontent à la CJUE, mais pour aboutir c'est quasi nul.
Par contre un Hackeur Européen, lui doit faire gaffe.
Tant que les gents ne se plaignent pas des sites, ils font comme ils veulent, sans plaintes pas de dossier. Et le plus compliqué et que plus on mets de contrôles, plus tu auras de contrainte et plus tu sera contrôlé, alors ou s'arrête la confidentialité et la liberté. Et de plus les règles de RGPD ne s'applique pas au Cloud et réseau sociaux comme les répertoires téléphoniques.
Très cordialement,
Vulcain
-------------------------------------------------------------
Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !
- Vous devez être connecté pour répondre à ce sujet.