Au Brésil, une immense faille dans une base de données a permis à des cybercriminels d’obtenir et de commercialiser les données (très) personnelles de 220 millions de personnes. Pour qui le cauchemar ne fait que commencer ?
La vie de tous les Brésiliens entre les mains de cybercriminels ?
Les données personnelles de l’ensemble de la population du Brésil à la portée des cybercriminels : l’une des plus grosses fuites de l’Histoire a été découverte par une entreprise de sécurité le 19 janvier. C’est la société de sécurité PSafe qui a décelé la gigantesque faille numérique, comme l’a rapporté le quotidien brésilien O Estado de S. Paulo.
Au total, ce sont des informations très détaillées sur plus de 220 millions de Brésiliens (comprenant aussi des individus décédés, le pays comptant actuellement un peu mois de 210 millions de ressortissants…) qui ont été piratées.
Plus précisément, le fichier, pesant plus de 14 gigaoctets malgré son format texte, contenait des informations d’une incroyable précision sur ces millions de personnes. Le site Numerama a recensé dans le détail les types de données contenues :
- Nom, prénom, date de naissance, nom des deux parents, statut marital, niveau d’éducation.
- Email, numéro de téléphone, adresse (nom précis de la rue, mais aussi coordonnées GPS).
- Plusieurs équivalents du numéro de sécurité sociale, et le détail de certaines prestations régulières, similaires à celles de la caisse d’allocation familiale française.
- Des détails sur le foyer : nombre de personnes, niveau de revenu.
- Des détails sur le travail : nom et identifiant légaux de l’employeur, type d’emploi, statut du poste, date d’embauche, salaire, nombre d’heures par semaine.
- Des estimations de revenu : ce calcul prend en compte le salaire, le loyer, ou encore la perception d’une éventuelle rente. Ces données servent à classer les personnes par niveau de classe sociale (baisse, moyenne, haute) et par niveau de revenu.
- Toutes sortes de données financières : le détail du score de crédit ; le nom des débiteurs et le statut des dettes ; l’identifiant de la banque des mauvais payeurs.
En outre, le fichier contient aussi le CPF (Cadastro de Pessoas Físicas) des Brésiliens, sorte d’équivalent national du numéro fiscal français utilisé pour le règlement des impôts…
Des données personnelles commercialisées
Sans surprise, la fuite de ces données personnelles n’a pas échappé à certains cybercriminels, dont un a téléchargé le fichier contenant 37 bases de données distinctes au mois d’août 2019. Pour ensuite commercialiser en ligne une partie de ces informations, ayant rendu le reste facilement accessible sur un forum de vente.
Quant à l’identification de l’origine d’une telle fuite, il est à noter que le volumineux fichier a été nommé « Serasa Experian » par le ou les pirates. Du nom d’une entreprise brésilienne spécialisée dans le crédit. Est-elle responsable d’une négligence ayant permis la divulgation de cette mine d’or d’informations ? La société en question a annoncé depuis qu’elle avait lancé une enquête en interne, sans n’avoir pu constater pour l’heure d’intrusion dans son système.
Dans le même temps, les cybercriminels vont pouvoir faire feu de tout bois pour lancer des opérations de phishing, chantage aux données personnelles et autres arnaques en ligne parmi toute la population brésilienne en s’appuyant sur la multitude de critères révélés par les bases de données piratées. Un immense terrain de jeu sur lequel les experts en cybersécurité des entreprises brésiliennes vont devoir se mettre au niveau, tandis que la France n’échappe pas à la menace…
Crédit photo : DR (photo d’illustration)
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
