Posted On 05 Oct 2019
By : Damien Bancal
ZATAZ découvre plus de 190 bases de données pirates additionnant plus de 380 millions d’identifiants de connexion. Etes-vous dans la liste ?
Nouvelle pêche « miraculeuse » d’identifiants de connexion dans les sites, forums et autres black markets que ZATAZ surveille. Alors que nous suivions la discussion d’un petit groupe de pirates malaisiens, nous avons pu intercepter un espace de stockage (clouf) inquiétant.
Notre Malais étant « très » limité, nous avions pensé au début à une conversation traitant de contenus pornographiques. 11,4Go de données via 194 fichiers .mp4 (format vidéo).
Mais la discussion entre les malveillants indiquait par la suite que les .mp4 devaient se modifier en .txt.
Et c’est là que nous avons compris.
Il suffisait de modifier les suffixe vidéo (.mp4) et suffixe texte (.txt). Autant dire que nous avons sauté sur l’occasion de regarder ce que cachaient ces tentatives de modifications sommes toutes légères.
Et là … c’est le drame !
Chaque document, soit 194 fichiers textes baptisés testxxx.txt (xxx = le numéro du .txt), propose 2 millions d’identifiants de connexion. Login, mail et mots de passe. Des « password » TOUS lisibles en clair. Comprenez qu’ils ne sont pas chiffrés (hashés). Donc, des PWD utilisables en l’état. Bilan, cela donne 194 X 2 millions = 388 000 000. Soit l’équivalent, à 10 millions prêts, de l’addition des habitants de la France et des USA réunis (395 279 400 selon Wikipedia).
Impossible, pour le moment, d’où proviennent cette masse de données. Très certainement de multiples piratages et autres phishing.
Il faut, en tout cas, une sacrée main d’oeuvre pour collecter ces informations.
Nous sommes toujours en train d’analyser les documents au moment de l’écriture de cet article. Nous continuerons tant que nous n’avons pas été repérés dans les logs du FTP.
Le premier fichier, test1.txt affiche 799 823 .com. 793 714 comptes russes (.ru) ; 195 435 Gmail ; 96 697 .net ; 62 179 comptes Français (.fr) ; 23 372 Canadiens (.ca) ; 2 015 .org ; 3 406 Suisses (.ch) ; 3 172 Belges (.be) ou encore 947 Luxembourgeois (.lu).
L’analyse des fichiers test2 à test5 nous a permis de découvrir 277 524 .fr ; 20 777 canadiens ou encore 2 729 belges supplémentaires.
Revenez sur cette page pour les mises à jour des chiffres par pays et suffixes Internet d’ici quelques heures.