Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée
Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée,
à cause d'un service de stockage de données en ligne qui n'a pas été sécurisé
Les données personnelles et les informations de profil sur des millions d'électeurs américains ont été exposées dans ce qui a été catégorisé comme étant « la plus grande fuite de son genre ».
Au total, 198 millions d'enregistrements ont été trouvés stockés sur un Amazon S3, un service de stockage de données en ligne, appartenant à Deep Root Analytics, une société républicaine d'analyse de données et qui n'a pas été sécurisé par les administrateurs. Pour l’équipe Cyber Risk du cabinet de sécurité UpGuard, les données, qui remontent à plus d'une décennie, comprennent des informations sur tous les électeurs américains enregistrés.
« Les données, stockées sur un serveur cloud accessible au public appartenant à la société de données républicaine Deep Root Analytics, comprenaient 1,1 téraoctet d'informations personnelles entièrement non sécurisées compilées par DRA et au moins deux autres entrepreneurs républicains, TargetPoint Consulting, Inc. et Data Trust. Au total, les informations personnelles de potentiellement près de l'ensemble des 200 millions d'électeurs enregistrés en Amérique ont été exposées. Parmi ces informations figuraient les noms, les dates de naissance, les adresses de domicile, les numéros de téléphone et les détails de l'inscription des électeurs, ainsi que les données décrites comme appartenant à des groupes ethniques et des religions électeurs “modélisés” ».
Et de continuer en expliquant que cette divulgation éclipse les violations antérieures des données électorales au Mexique (également découvertes par Vickery) et aux Philippines de plus de 100 millions d’individus, exposant les informations personnelles de plus de 60 % de la population américaine entière.
« L'exposition des données donne un aperçu du fonctionnement interne de l'opération de données de 100 millions de dollars du Comité national républicain pour l'élection présidentielle de 2016 », ironise le cabinet.
« Deep Root Analytics, TargetPoint et Data Trust faisaient partie des entités embauchées par le RNC (Republican National Committee ) qui servaient de base à l'équipe de données électorales générales de la campagne Trump en 2016, dans le but d'influencer les électeurs potentiels et de prédire avec précision leur comportement. Le dépôt de données RNC a fini par acquérir environ 9,5 milliards de points de données concernant trois Américains sur cinq, ce qui représente 198 millions d'électeurs américains potentiels sur leurs préférences politiques probables en utilisant une modélisation algorithmique avancée dans quarante-huit catégories différentes. »
Avec plusieurs magasins de données utilisant un « ID RNC » alphanumérique à 32 caractères, il est non seulement possible d'identifier de manière unique les personnes référencées dans la base de données, mais aussi de rassembler de nombreuses informations à leur sujet. L'information était initialement destinée à être utilisée par les candidats politiques pour cibler les électeurs potentiels et adapter leurs campagnes de manière appropriée.
À l'heure actuelle, il n'est pas clair si quelqu'un d’autre qu’UpGuard a eu accès aux données. Cependant, compte tenu du fait que tout ce qu’il fallait pour pouvoir visiter la base de données n’était pas complexe, les chances que les informations puissent tomber dans les mauvaises mains sont élevées.
Source : UpGuard
Voir aussi :
:fleche: Un ancien administrateur IT de l'hébergeur hollandais Verelox efface toutes les données des utilisateurs et formate les serveurs de l'entreprise
:fleche: Les ventes mondiales de serveurs ont connu un déclin de près de 5 % au premier trimestre 2017, d'après Gartner
:fleche: Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows pour infecter des machines dans un réseau ciblé
Vous pensez toujours à mal aussi...
On est pas toujours obligé de tout sécuriser hein. On peut aussi avoir confiance en l'humain.
Je me souviens d'une époque où on faisait du rlogin, du telnet et autre ftp... et on sécurisait rien.
Il faut arrêter avec la paranoïa. Ce qui nous manque en France c'est un ministère de l'information qui contrôlerait tout ce qu'on dit, pour voir si on est de bons citoyens. Et pis de toute façon, moi je m'en fout des électeurs américains ce qui m'intéresse c'est ce qui se passe dans ma rue. Pas plus loin.
Hop.
Hetienn (cherchez pas c'est un pseudo et j'utilise un VPN ;)
Titre de l'article : approximation ou buzz ????
Bonsoir,
J'ai lu avec attention cet article, travaillant très régulièrement sur le Cloud et souvent sur AWS (le cloud d'Amazon).
Le titre m'a interpellé, je pense que c'était le but, et quand j'ai lu le contenu (ainsi que la source en anglais) celui-ci m'a laissé perplexe.
J'aimerais que le "Stéphane le calme" explique ce titre, et surtout la fin "à cause d'un serveur Amazon non sécurisé".
1 - "un serveur Amazon non sécurisé" : l'article original parle d'un "bucket S3".
Un bucket S3 n'est pas un serveur, mais un espace "privatisé" (pas forcément sécurisé) sur un ensemble de serveur sur AWS. Est-ce un manque de connaissances ou une erreur assumée pour faire du buzz ? J'aimerais que le rédacteur de l'article nous explique
2 - "non sécurisé" : la forme de ce titre laisse à penser qu'il y a des failles sur le cloud AWS.
Si vous utilisez un peu AWS, vous verrez que AWS assure une partie de la sécurité (shared responsibility model).
AWS est un peu comme un serrurier qui vous fournit un verrou. Si vous ne le posez pas sur la porte ou si vous laissez la porte ouverte ce n'est pas la faute du serrurier. Le titre de l'article laisse penser le contraire.
Je laisse chacun se faire un avis sur le cloud (je suis utilisateur assidu de cette technologie depuis plusieurs années). Je trouve juste dommage de traduire un article avec tant d’approximation ou en cherchant à faire le buzz en mettant dans le titre Amazon.
@Stéphane le calme : A vous de me répondre...
Cordialement,
Syl20