par Les pirates ont piraté un site Web qui permet aux gens d’acheter et de vendre des armes à feu, exposant l’identité de ses utilisateurs, a appris TechCrunch.
La violation a exposé des tonnes de données personnelles sensibles pour plus de 550 000 utilisateurs, y compris les noms complets, les adresses personnelles, les adresses e-mail, les mots de passe en clair et les numéros de téléphone des clients. De plus, les données volées permettraient de lier une personne en particulier à la vente ou à l’achat d’une arme spécifique.
«Avec ces données, vous pouvez ensuite prendre une liste publique… et la résoudre à nouveau [data in the stolen database] vous avez donc le nom, l’adresse e-mail et l’adresse physique et le numéro de téléphone de [the seller] et vraisemblablement, l’emplacement de l’arme », a déclaré Troy Hunt, un expert en cybersécurité qui gère le référentiel populaire de violation de données et le service d’alerte Have I BeenPwned, à TechCrunch. (Le chercheur qui a trouvé la faille a partagé les données avec Hunt afin qu’il puisse les télécharger sur Have I BeenPwned.)
À la fin de l’année dernière, un chercheur en sécurité – qui a demandé à rester anonyme – a découvert un serveur contenant les données, qui s’est avéré être utilisé par un pirate (ou un groupe de pirates) qui utilisait le serveur pour stocker les données volées. Le serveur n’était protégé par aucun système pour limiter ou contrôler qui pouvait y accéder, alors le chercheur a téléchargé les données et les a analysées.
Ce qu’il a trouvé, ce sont des données tirées du site Web GunAuction.com, un site qui depuis 1998 permet aux gens de mettre des armes aux enchères en ligne.
Une capture d’écran de GunAuction.com
TechCrunch a analysé un échantillon des données volées et a contacté 100 personnes par e-mail et 60 par téléphone. Parmi ceux-ci, 10 personnes ont confirmé que les données contenues dans la base de données volée étaient exactes. On ne sait pas, cependant, à quel point les données sont récentes, étant donné que pour 25 adresses e-mail, notre message a rebondi ou n’a pas pu être livré, et plusieurs numéros de téléphone ont également été déconnectés.
Le PDG de GunAuction.com, Manny DelaCruz, a confirmé la violation dans un e-mail.
“Je peux confirmer que nous avons récemment été contactés par le FBI concernant la possibilité d’une violation de données qui a affecté notre entreprise”, a écrit DelaCruz dans le communiqué. “La violation a probablement exposé des informations personnelles sur les clients, telles que des noms, des adresses et des adresses e-mail. Cependant, nous tenons à rassurer nos clients sur le fait que nous n’avons aucune raison de croire que des informations financières ont été consultées pendant la violation. Nous conseillons à nos clients de rester vigilants et de surveiller leurs comptes financiers et leurs rapports de solvabilité pour toute activité suspecte. »
DelaCruz a ajouté que “notre intention est d’informer très prochainement les utilisateurs concernés”.
Ce n’est pas la première fois que des données sensibles sur les propriétaires d’armes à feu sont exposées. L’année dernière, le ministère de la Justice de Californie a divulgué par erreur des données personnelles, “y compris les noms, anniversaires, adresses, âges des propriétaires d’armes à feu, la date d’achat et le type de permis d’arme à feu qu’ils possédaient, ainsi que leurs numéros d’identification criminelle, qui sont utilisés pour suivre l’état et casiers judiciaires fédéraux », selon Gizmodo.
Avez-vous plus d’informations sur cette violation ? Ou des infractions similaires ? Nous aimerions recevoir de vos nouvelles. Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram et Wire @lorenzofb, ou envoyer un e-mail à lorenzo@techcrunch.com. Vous pouvez également contacter TechCrunch via SecureDrop.
