Discussion :

[Olivier Famien]

Une fuite de données chez GeekedIn expose plus de 8 millions de comptes Github sur la toile,
chaque utilisateur peut vérifier s’il est concerné par l’incident

Il y a quelques jours de cela, Troy Hunt, MVP et directeur régional chez Microsoft, a reçu un fichier de 594 Mo que lui a envoyé un inconnu sur la toile. Selon les informations fournies par le quidam, ce fichier serait une sauvegarde MongoDB appartenant au site GeekedIn et datant du mois d’août.

Après avoir ouvert le fichier, grande fut la surprise de Troy en constatant qu’il renfermait les informations personnelles de plusieurs personnes comme leurs noms, prénoms, adresses géographiques, plus de 8,2 millions adresses email GitHub. En parcourant ce lot d’emails, Hunt a noté que 7,1 millions se terminaient par « @github.xyzp.wzf.xyzp.wzf ». Selon Hunt, les adresses email GitHub qui se terminaient ainsi sont celles appartenant à des personnes qui n’ont pas d’adresse électronique GitHub publiquement exposée dans leur compte GitHub. À côté de ces adresses, Hunt a également pu extraire environ 15 000 adresses qui se terminaient par @bitbucket.xyzp.wzf.

En menant des investigations sur le Net, Hunt a pu découvrir que GeekedIn, le site à partir duquel cette fuite de données est survenue, est en fait une entreprise de recrutement de professionnels dans le domaine technologique. Le lien est donc établi. Selon Hunt, cette entreprise parcourt les différents sites IT afin de collecter les données sur les professionnels de ce domaine pour renseigner sa base et ensuite revendre les données recueillies. Selon les informations acquises par Hunt, GeekedIn aurait une base de données de 65 Go sur les professionnels IT. En interrogeant les données à sa disposition, Hunt a même pu constater que ses données personnelles figuraient dans cette base de données.

Toutefois, même s’il est vrai que les informations personnelles sur les développeurs peuvent être obtenues en toute légalité en parcourant la plateforme GitHub, il n’en demeure pas moins qu’elles ne doivent pas être utilisées à des fins commerciales sans le consentement des personnes concernées.

Hunt a donc immédiatement informé GitHub qui a fait cette publication : « Les tierces parties extraient fréquemment les données GitHub publiques pour diverses raisons, telles que la recherche ou l’archivage. Nous autorisons ce type d’extraction tant que les informations personnelles de l’utilisateur ne sont utilisées qu’aux fins pour lesquelles elles ont donné ces informations à GitHub. L’utilisation d’informations extraites à des fins commerciales viole notre déclaration de confidentialité et nous ne tolérons pas ce type d’utilisation ».

Hunt affirme avoir contacté GeekedIn tout comme GitHub l’aurait fait. Le site aurait reconnu l’incident et promis d’appliquer de meilleures mesures de sécurité. Aussi, pour permettre à d’autres personnes de savoir si la fuite de données contient également leurs informations personnelles ou non, Hunt a utilisé le service de notification du site haveibeenpwned.com pour renseigner les personnes qui le désirent. Pour cela, il suffit d’aller sur l’adresse haveibeenpwned.com/NotifyMe et vous entrez votre adresse email qui pourrait avoir été piratée. Vous recevrez un message de confirmation dans la boîte électronique renseignée. En repartant dans votre messagerie, vous serez amené à cliquer sur le lien indiqué pour vérifier si vos informations personnelles sont contenues dans la base de données exposée par GeekedIn.

Source : Troy Hunt Blog

Et vous ?

Êtes-vous concerné par cette fuite de données ? Quelles sont les mesures que vous pouvez préconiser pour éviter ce genre de déboire ?

Que pensez-vous des méthodes de revente de données personnelles sans le consentement des utilisateurs ?

Voir aussi

Les données de 13 millions d'utilisateurs de MacKeeper étaient diffusées en clair, ce type de problème est-il récurrent ?

La Rubrique Développement Web, Forum Sécurité, Cours et tutoriels Développement web, FAQ Web

[Roadkiller]

Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...

[TiranusKBX]

@Roadkiller non tu n'est pas le seul mais les gens penserons qu'au pire ils recevrons un peut de spam vite fait trié par la filtre ^^

[Oscar.STEFANINI]

Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...

Personnellement j'ai totale confiance en ce site

[tomlev]

Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...

haveibeenpwned est un site de confiance (créé par Troy Hunt, l'expert en sécurité dont parle l'article), tu ne risques rien.

[Aiekick]

d'un autre coté je comprend pas la fuite. j'ai mal comprit peu être mais j'ai comprit que les infos en question recueillis par GeekedIn sont disponibles en parcourant github.

donc meme si GeeKedIn, s'est fait piraté et volé sa BD, les données obtenue sont au pire publiques non ?

[Roadkiller]

C'est ce que j'ai compris de l'article aussi. GeeKedIn a agrégé des données publiques chez lui, puis c'est fait voler sa BDD. Ils se sont fait grosso modo fait voler leur travail mais ça ne change rien pour l'utilisateur de github dont son compte n'a été compromis d'aucun manière, juste son profil visité. Du moins, c'est ce que je comprends.

[pi-2r]

Effectivement, GeeKedIn ne faisait que scrapper les profils Github, rien d'alarmant coté Github car les comptes ne sont corrompu.