Une gigantesque base de données de 22 Go contenant les données personnelles de 56 millions d’américains a pu être utilisée publiquement, depuis une adresse IP chinoise. Cette base de données se trouvait sur le site de CheckPeople, un service web qui permet d’obtenir des informations sur une personne, moyennant des frais (en temps normal).

56 millions d’américains sont concernés

Un chercheur en cybersécurité a averti The Register que les données étaient en réalité accessibles publiquement. Étrangement, elles sont associées à une adresse IP chinoise, détenue par Alibaba à Hangzhou, dans l’est de la Chine. Si les données personnelles des personnes concernées sont tirées de documents publics, il n’est pas normal qu’elle soit aussi facilement accessible. D’après le chercheur à l’origine de cette découverte, on retrouve notamment les noms, prénoms, adresses e-mails, adresses postales et numéros de téléphone des personnes concernées.

Le chercheur précise que : « en soi, les données contenus dans ce fichier sont inoffensives, ce sont des données publiques, mais regroupées comme cela, je pense qu’elles pourraient avoir une certaine valeur pour certaines personnes. C’est pour cette raison que je trouve cela inquiétant. Quand une entreprise commence à combiner ce genre de données avec d’autres ensembles de données pour créer des publicités ciblées, cela peut devenir dangereux ».

CheckPeople n’a pas répondu aux demandes des journalistes mais semble désormais être au courant de la fuite. C’est étonnant qu’une telle entreprise ne soit pas plus soucieuse des données qu’elle a en sa possession étant donné qu’il s’agit de sa source de revenus. À l’heure actuelle, il est impossible de savoir si les données ont été siphonnées par une entreprise chinoise et déposées en ligne, ou s’il s’agit d’un serveur de CheckPeople hébergé en Chine.

Un cas loin d’être isolé

Ce n’est pas la première fois que de telles bases de données sont découvertes sur le web. En décembre 2019, les données personnelles de 267 millions d’utilisateurs de Facebook étaient découvertes dans une base de données qui ne requerrait aucune authentification. Cette fois-ci aussi, c’était un chercheur en sécurité informatique qui mettait la main sur cette base de données publique. Bob Diachenko, le chercheur à l’origine de cette découverte, expliquait à l’époque que les données étaient disponibles sur un forum de pirates informatiques