AIO APEX
Security

Des chercheurs découvrent 24 milliards d'identifiants volés dans un dump infostealer de 8,3 To exposé en ligne

Cybernews
Partager:
Des chercheurs découvrent 24 milliards d'identifiants volés dans un dump infostealer de 8,3 To exposé en ligne

Les chercheurs de Cybernews ont découvert ce qu'ils décrivent comme l'un des plus grands dumps d'identifiants jamais trouvés : un cluster Elasticsearch non sécurisé contenant 24 milliards d'enregistrements totalisant plus de 8,3 téraoctets de données. La collection a été trouvée le 12 juin 2026, et la base de données a été mise hors ligne ou sécurisée d'ici le 15 juin. Bien que la fenêtre d'exposition immédiate soit fermée, les données elles-mêmes — compilées à partir de logs de malware infostealer, de canaux Telegram et de compilations de brèches existantes — restent en circulation partout où elles ont été partagées avant la découverte.

L'échelle place cette fuite dans une catégorie à part. La compilation RockYou2021 de 2021, largement citée comme la plus grande liste d'identifiants jamais publiée, contenait 8,4 milliards d'enregistrements. La version RockYou2024 de 2024 a porté ce nombre à près de 10 milliards. Avec 24 milliards d'enregistrements, cette collection est plus du double de chacune d'elles, et la composition importe : contrairement aux compilations plus anciennes qui sont principalement des données recyclées, une part significative de ce dump provient de logs infostealer frais, c'est-à-dire des identifiants récemment volés qui n'ont pas encore été largement renouvelés.

Ce Que Sont les Logs Infostealer et Pourquoi Ils Sont Pires Que les Dumps de Bases de Données

Les bases de données de brèches traditionnelles contiennent des identifiants volés lorsqu'un service spécifique est compromis ; elles ont tendance à inclure des mots de passe hachés nécessitant un cassage et sont souvent obsolètes de plusieurs années au moment où elles apparaissent dans les dumps. Les logs infostealer sont différents. Ils sont générés par des malwares s'exécutant sur des appareils infectés : un logiciel qui capture les mots de passe stockés dans le navigateur, les identifiants de saisie automatique et les cookies de session en texte clair au moment où ils sont utilisés.

Cela signifie que les logs infostealer contiennent des identifiants fonctionnels à la date de l'infection. Ils contournent le besoin de casser les hachages. Ils incluent souvent l'URL de connexion associée, ce qui rend trivial de faire correspondre un mot de passe au service qu'il déverrouille. Et parce qu'ils extraient les identifiants du stockage du navigateur de la machine infectée, ils capturent souvent des mots de passe que les utilisateurs n'ont pas changés depuis des années — ceux qui sont dans leur gestionnaire de mots de passe ou la saisie automatique du navigateur et auxquels ils ont cessé de penser.

Les 24 milliards d'enregistrements de cette collection ont été compilés à partir d'au moins 36 sources différentes : divers canaux Telegram où les opérateurs d'infostealer vendent des logs, des compilations de brèches existantes et ce que les chercheurs décrivent comme des données qui semblent avoir été exportées directement de serveurs en direct, suggérant qu'une partie des données était très récemment active.

Qui l'a Trouvé et Que S'est-il Passé

L'équipe de recherche de Cybernews a identifié la base de données exposée le 12 juin dans le cadre d'un scan continu des instances de stockage cloud et de bases de données exposées publiquement. Le cluster était accessible sans authentification — une mauvaise configuration qui laissait les 8,3 téraoctets lisibles par quiconque trouvait l'adresse IP. Le propriétaire de la base de données n'a pas été identifié publiquement. Les chercheurs spéculent que les données pourraient appartenir soit à un acteur malveillant les utilisant comme base de données opérationnelle d'identifiants, soit à une entreprise de sécurité agrégeant des données de brèches pour des services de surveillance — bien que l'exposition en texte clair et l'absence de tout contrôle d'accès apparent rendent la théorie de l'entreprise de sécurité moins plausible.

La base de données a été sécurisée ou mise hors ligne d'ici le 15 juin, trois jours après la découverte. La fenêtre d'exposition non protégée est inconnue — cela aurait pu être des jours ou des mois.

Le Risque de Credential Stuffing

Le risque pratique de ce type de fuite est le credential stuffing : des outils automatisés qui prennent des paires nom d'utilisateur-mot de passe provenant de bases de données de brèches et les testent contre des services en direct à grande échelle. Les services sans limitation de débit, blocage IP ou authentification multifactorielle obligatoire sont particulièrement vulnérables.

Les chercheurs en sécurité et les fournisseurs, dont Malwarebytes et TechRadar, qui ont tous deux couvert la divulgation de Cybernews, soulignent que les utilisateurs les plus à risque sont ceux qui réutilisent des mots de passe entre plusieurs services — ce qui, selon la plupart des enquêtes, est la majorité des utilisateurs. Un identifiant dans ce dump qui correspond au mot de passe bancaire, au mot de passe email ou au mot de passe VPN d'entreprise d'un utilisateur crée un risque immédiat de prise de contrôle du compte, indépendamment de l'endroit où l'identifiant a été initialement volé.

Que Faire

Le conseil standard s'applique et reste la bonne réponse : utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques pour chaque service, activez l'authentification multifactorielle partout où c'est disponible, et surveillez les alertes d'activité de compte de vos fournisseurs de messagerie et financiers. Des services comme HaveIBeenPwned devraient ingérer des données d'identifiants de cette échelle une fois qu'elles seront mises à disposition par les chercheurs ; vérifier votre adresse e-mail là-bas dans les jours à venir en vaut la peine.

Pour les équipes de sécurité des organisations : ce dump doit être traité comme un déclencheur pour auditer si des identifiants d'employés apparaissent dans des bases de données de brèches accessibles au public et pour imposer une rotation des mots de passe pour toute correspondance. Étant donné que les données sont compilées à partir de logs infostealer, les identifiants d'entreprise provenant d'employés dont les appareils personnels sont infectés sont particulièrement à risque.

data-breachinfostealerpassword-securitycredential-leakcredential-stuffing

Originally reported by Cybernews. Read the original article for additional details.

View original source
Partager: