- Il suffisait du nom et de l’État de résidence pour obtenir un fichier contenant d’anciennes adresses, des proches, des numéros de téléphone, des e-mails et des informations de permis de conduire, pour un coût de 15 dollars en Bitcoin
- L’outil semble accéder aux données de credit header détenues par Experian, Equifax et TransUnion, et fournissait dans certains cas le numéro de sécurité sociale (SSN) pour 20 dollars
- Les credit headers sont des données personnelles issues d’informations liées aux cartes de crédit d’une grande partie des adultes américains, qui circulent, au gré de contrats et d’achats, jusqu’aux sociétés de recouvrement, assureurs et forces de l’ordre
- Les criminels ont accédé à cette chaîne d’approvisionnement des données par des méthodes telles que l’usurpation d’identité d’anciens membres des forces de l’ordre, puis ont vendu en ligne à d’autres criminels un accès sans restriction
- L’outil a aussi servi à rechercher des personnalités comme Elon Musk, Joe Rogan et Joe Biden, et même si certaines données n’étaient pas sensibles, au moins une partie d’entre elles a été confirmée comme exacte
Recherche de données personnelles vendue via un bot Telegram
- Sur Telegram, il suffisait de saisir le nom et l’État de résidence d’une cible pour qu’un fichier de données personnelles soit généré peu après
- Le fichier contenait des adresses où la cible avait vécu aux États-Unis, y compris l’adresse d’une résidence universitaire datant de plus de 10 ans
- Les informations fournies comprenaient des éléments pouvant servir à vérifier l’identité et à suivre une personne
- noms des proches et année de naissance
- numéros de téléphone mobile et opérateur
- adresses e-mail personnelles
- informations de permis de conduire et numéro d’identification unique
- Le coût total d’une recherche était de 15 dollars en Bitcoin, et le bot fournissait parfois le numéro de sécurité sociale pour 20 dollars
Exploitation de la chaîne d’approvisionnement des données des agences de crédit
- Cet outil semble accéder, pour une grande partie des adultes vivant aux États-Unis, aux données de credit header détenues par Experian, Equifax et TransUnion
- Les données de credit header sont des données personnelles construites à partir d’informations liées aux cartes de crédit, puis transmises à d’autres entreprises au fil de divers contrats et achats
- Ces données suivent ensuite des circuits de diffusion vers les sociétés de recouvrement, les assureurs et les forces de l’ordre
- Les criminels ont réussi à accéder à cette chaîne d’approvisionnement et, dans certains cas, ont utilisé l’usurpation d’identité d’anciens membres des forces de l’ordre
- L’outil testé a aussi servi à collecter des informations sur des personnalités comme Elon Musk, Joe Rogan et Joe Biden, et semble avoir été utilisé sans restriction d’accès
- La vérification a montré que toutes les données n’étaient pas toujours sensibles, mais qu’au moins une partie d’entre elles était exacte
1 commentaires
Avis sur Hacker News
Cela vaut vraiment la peine de mettre en place un gel du crédit auprès des trois agences Experian, TransUnion et Equifax
C’est pénible au début, car il faut fournir beaucoup d’informations personnelles, mais une fois que c’est fait, geler et dégeler devient assez simple
Il suffit de conserver l’URL, le nom d’utilisateur et le mot de passe dans une note sécurisée, puis de lever le gel pour une journée ou une semaine quand on doit faire une demande de crédit
Avant, il y avait beaucoup de problèmes d’usurpation d’identité, avec des crédits ouverts à mon nom, mais le gel du crédit a réglé ça
Experian : https://www.experian.com/freeze/center.html
TransUnion : https://www.transunion.com/credit-freeze
Equifax : https://www.equifax.com/personal/credit-report-services/cred...
Je déteste vraiment ces entreprises, mais passer par cette procédure de référence en valait la peine, et je la recommanderais à tout le monde
La dernière fois, mon compte a été verrouillé parce que je ne m’étais pas connecté depuis trois ans, et on m’a demandé beaucoup de vérifications supplémentaires
Ces vérifications portent parfois sur des informations comme d’anciennes adresses, du même genre que celles demandées lors de la configuration initiale, ce qui peut sembler encore plus inquiétant, ou simplement plus compliqué
Avec le temps, au moment le plus inattendu, ils peuvent vous empêcher de lever le gel en affirmant que la vérification du compte prendra 60 jours
À chaque fois que cela arrive, l’émetteur devrait se voir infliger une amende massive
Dans ce type de fraude, la victime n’est pas le particulier, mais la banque
Mon identité est toujours à moi ; c’est simplement la banque ou le créancier qui, par négligence, a donné son argent à un criminel
Transformer en victime une personne qui n’a absolument rien fait n’a aucun sens, et la loi devrait évoluer pour refléter cette réalité
Tant que les banques pourront faire supporter le coût de leur négligence à des innocents, elles continueront à agir avec laxisme
Chaque fois que cette expression apparaît dans le débat public, l’idée devrait se diffuser qu’il faut rejeter la tromperie que constitue le terme « usurpation d’identité »
Sketch radio pertinent de Mitchell and Webb : https://www.youtube.com/watch?v=CS9ptA3Ya9E
J’ai dû gérer des fraudeurs qui avaient ouvert non seulement une ligne de téléphone mobile, mais aussi l’électricité de leur appartement à mon nom ; mettre en place un gel ici a réglé le problème
Comme je n’ai jamais rien ouvert au départ, je ne sais pas si je suis tranquille
Pour vous épargner un clic, l’arme secrète consiste à payer 15 dollars à un criminel dans un groupe Telegram pour faire doxer quelqu’un
L’essentiel de l’article explique d’où ces services de doxing obtiennent leurs données, et comment ces sources évoluent
En ce moment, le service en vogue est TLOxp de TransUnion
TLOxp est la dernière version d’une technologie qui a changé la donne en ouvrant le champ de la fusion de données
Les usages de TLOxp listés incluent le recouvrement de dettes, les professionnels du droit, les services juridiques internes, les enquêteurs agréés, les services financiers, l’assurance, le risque d’entreprise, les journalistes d’investigation, les forces de l’ordre, les administrations locales, fédérées et fédérales, ainsi que la récupération et la saisie d’actifs
On y trouve les mêmes erreurs que dans les informations incorrectes que les institutions financières demandent pour vérifier l’identité, donc je pense que la source doit être une agence d’évaluation du crédit
Il vaut mieux chercher son propre nom quelques fois par an et demander la suppression de ses données sur ces sites
La plupart traitent la demande assez rapidement
On dirait peut-être un article à clics du type « piégé », mais je pense que le titre tient exactement sa promesse
Il explique que des outils de recherche faiblement régulés fournis par les agences d’évaluation du crédit servent à vendre du doxing et pire encore
Y avait-il quelque chose qui affaiblissait ces affirmations ?
L’approche est mauvaise
L’identité et l’authentification des personnes ne devraient pas reposer sur des informations immuables et susceptibles d’être publiques comme le numéro de sécurité sociale, le numéro de permis de conduire ou l’historique des adresses
Ces informations peuvent fuiter de nombreuses façons, et une fois qu’elles ont fuité, elles restent là pour toujours
Il faut une véritable identité numérique, ainsi que des mécanismes d’authentification et de résolution des litiges
Ce ne sera pas bon marché, mais à long terme, les alternatives coûteront plus cher
C’est un peu fastidieux, mais assez difficile à pirater
Bien sûr, cela ne fonctionne pas si l’on n’a pas de passeport ou de pièce d’identité équivalente
Il suffit d’imaginer la situation où vous voulez contracter un prêt et découvrez que votre identité a été annulée et que quelqu’un d’autre l’a déjà prise
TransUnion a déclaré que « dans les très rares cas où nous constatons un usage abusif de TLOxp, nous coopérons avec les forces de l’ordre pour aider à poursuivre les responsables », mais c’est complètement faux.
TransUnion a déjà transmis mon rapport de crédit complet à des hackers qui ne disposaient que d’informations publiques, et ne s’en est absolument pas souciée.
Ça ne semble pas près d’arriver.
Évidemment, c’est une énorme galère.
Ils ne disent rien sur l’attention qu’ils y portent ni sur le suivi qu’ils font après l’avoir constaté.
Il y a autre chose que je déteste chez les agences d’évaluation du crédit.
Quand on va dans une société de courtage en immobilier commercial, tous les courtiers ont une licence auprès d’une agence d’évaluation du crédit, et les courtiers juniors en particulier consultent chaque jour les propriétaires de biens pour les appeler commercialement sur leur portable.
TLO sait forcément qu’une grande partie du secteur du courtage en immobilier commercial n’utilise pas son produit tous les jours à des fins de conformité GLBA, mais fait semblant de ne rien voir et cherche comment le monétiser.
Il n’y a même pas besoin de fouiller les recoins sombres d’Internet pour obtenir ces informations.
Il suffit d’entrer par la porte principale.
« Ce n’est pas une fuite de données si vous faites payer les données à des criminels.
Dans ce cas, c’est une prestation de service. »
— les agences d’évaluation du crédit
Si quelqu’un vous appelle en disant déjà connaître beaucoup de vos informations personnelles pour prouver qu’il est « légitime », ne donnez jamais d’informations personnelles.
Rappelez toujours au numéro que vous avez trouvé vous-même, pas à celui qu’on vous a donné.
Il y a eu autrefois des escrocs qui appelaient en se faisant passer pour la banque, puis demandaient de rappeler le numéro au dos de la carte bancaire.
Quand la victime raccrochait puis décrochait à nouveau, les escrocs gardaient la ligne, lançaient une fausse tonalité et faisaient répondre une autre personne pour la piéger.
Encore moins quand c’est un numéro inconnu.
Tout le monde est vulnérable au problème abordé dans l’article.
Je pense que ça va empirer.
Il existe des montagnes de données non classées parce que personne ne s’y intéressait, et désormais de bons grands modèles de langage peuvent faire ce travail à leur place.
Il faudrait interdire tout ce secteur.
Les tribunaux pourraient enregistrer les défauts de paiement et fournir cette information aux créanciers.
Les rapports ne devraient rien contenir d’autre.
Les prêteurs vérifient déjà les revenus de façon indépendante et, dans le cas des prêts immobiliers, les dépenses mensuelles aussi.
Le reste des informations qui figurent dans les rapports de crédit et servent au calcul du score de crédit semble surtout destiné à forcer les gens à prendre des cartes de crédit et à perpétuer le racisme structurel.
C’était déjà évident il y a 20 ans, quand des détectives privés présentaient dans des conférences hacker toutes sortes de moyens légaux d’obtenir les informations voulues.
Avec une simple recherche, on trouve environ 500 services en ligne permettant d’extraire des informations privées pour une petite somme.
Ce ne sont pas des hackers qui les exploitent, mais des sociétés cotées en Bourse.
On dirait que quelqu’un vient simplement de créer un bot qui rend ça plus facile.
Pour un hacker, ce genre d’article se lit comme un article disant que « les serrures ne sont pas sûres ».
Tout ce qu’il avait, c’était mon nom et l’université où j’allais.
Quand je lui ai demandé comment il avait obtenu mon numéro, il m’a dit avoir utilisé un service du genre de ceux mentionnés plus haut.
Pour quelqu’un de motivé, ce n’était pas particulièrement difficile.
Tout ce qu’il faut, c’est le numéro de téléphone de la personne.
Mais même il y a 20 ans, il était clair qu’avec très peu d’informations sur quelqu’un — surtout si son nom n’était pas courant — on pouvait trouver une quantité énorme d’informations.