Presque toujours, les fuites de données sont liées à un site, un service ou un abonnement, ce qui laisse à l’utilisateur une certaine forme de contrôle : il peut modifier son mot de passe, surveiller les activités suspectes, voire supprimer son compte. Mais, dans le cas de la dernière intrusion en date qui a exposé les informations privées de quelque 80 millions de ménages américains, personne ne semble savoir qui blâmer.

Si l’on sait encore peu de choses sur la façon dont ces données ont pu être exposées, il apparaît clairement que la fuite est très importante. Les chercheurs en sécurité Ran Locar et Noam Rotem de vpnMentor, à l’origine de la découverte, peuvent seulement dire que les données non chiffrées sont hébergées sur un serveur cloud de Microsoft et qu’elles semblent concerner des personnes de plus de 40 ans. En les disséquant, ils ont constaté qu'elles « comportaient des détails sur des ménages plutôt que sur des individus », notamment : les adresses complètes, y compris de résidence, la ville, le comté, l’état et le code postal ; les coordonnées de géolocalisation longitude-latitude exactes ; les noms complets, y compris le prénom, le nom de famille et l'initiale du deuxième prénom ; l’âge ; la date de naissance.

Les chercheurs en sécurité demandent l'aide du public

De plus, les chercheurs ont découvert des informations faisant référence au titre, au genre, à la situation matrimoniale, au revenu, au statut de propriétaire et au type de logement. Cela peut sembler moins dangereux qu'une fuite de numéro de carte de crédit ou de sécurité sociale, mais vpnMentor explique que ces données « sont une mine d'or pour les voleurs d'identité et autres pirates ». Dans leur rapport, ils alertent contre l’usage possible de ces données privées par des pirates informatiques pour mener des campagnes de phishing et de ransomware, ou pour monter des escroqueries moins techniques, par exemple, savoir, en surveillant les médias sociaux, si la famille est absente de son domicile.

D’après le type et la richesse des informations, l’entreprise de sécurité pense que la base de données pourrait appartenir à une compagnie d'assurance, une mutuelle de santé ou un organisme de prêts. Les chercheurs ont demandé l'aide du public pour identifier le titulaire des données en envoyant un courriel à info@vpnmentor.com.