184 millions de mots de passe uniques exposés publiquement : l’énorme fuite que personne n’a vue venir

Dans un échantillon de 10 000 entrées analysées, Fowler a identifié des identifiants liés à Facebook, Google, Microsoft, Instagram, Roblox, Amazon, Netflix, PayPal ou encore Apple. On y trouve aussi des accès à des adresses mails professionnels, des comptes liés à des banques, des portefeuilles crypto, des plateformes de santé, et même plus de 220 adresses en .gov provenant de 29 pays différents, parmi lesquels les États-Unis, l’Australie, le Canada, la Chine, l’Inde, Israël, la Nouvelle-Zélande, l’Arabie saoudite et le Royaume-Uni. Autrement dit, des données qui pourraient ouvrir la porte à de vastes campagnes de piratage, de fraude ou d’espionnage.

Pour confirmer l’authenticité de la base, Fowler a contacté plusieurs adresses mail figurant dans les données exposées. Certaines personnes lui ont confirmé que les identifiants et mots de passe les concernant étaient bien exacts et toujours valides.

Comme souvent dans ce type de fuite, aucun indice ne permet d’identifier clairement le ou les responsables. Le nom du champ contenant les mots de passe – « senha », portugais pour mot de passe – laisse supposer une origine brésilienne ou portugaise, mais l’interface et les autres libellés étaient en anglais. Fowler n’a pas non plus pu déterminer dans quel but exact la base avait été constituée. L’hypothèse la plus vraisemblable converge vers une compilation massive de données collectées via un infostealer, ces malwares conçus pour aspirer les mots de passe stockés dans les navigateurs et les applis.