Un acteur malveillant affirme vendre sur un forum de hacking une base de données contenant prétendument 428 millions d’enregistrements d’utilisateurs TikTok. Le vendeur a publié des échantillons montrant des noms d’utilisateur, adresses email, numéros de téléphone et informations de profil. Le jeu de données est proposé pour plusieurs milliers de dollars. L’authenticité de cette fuite n’a pas été vérifiée de manière indépendante, et TikTok n’a pas confirmé de compromission. Des chercheurs en cybersécurité notent qu’une partie des données pourrait provenir de profils publics, mais la présence d’emails et de numéros de téléphone suggère un accès potentiel à des informations non publiques. Le périmètre et la véracité de cette prétendue fuite font actuellement l’objet d’une enquête active par la communauté sécurité.
Analyse de nos experts :
La mise en vente de ce jeu de données, qu’elle résulte d’un scraping ou d’une véritable fuite, met en lumière un échec persistant à protéger les métadonnées des utilisateurs. Les plateformes publiques continuent de sous-estimer la valeur des corrélations entre email et numéro de téléphone. Que la fuite soit réelle ou exagérée, le potentiel d’exploitation de ces données dans des campagnes massives de phishing ou d’ingénierie sociale est incontestable. La banalisation du commerce de centaines de millions d’enregistrements est en soi inquiétante. Lorsque la confiance des utilisateurs devient une marchandise aussi bon marché, la vraie question n’est plus comment ces données ont été obtenues, mais pourquoi de telles expositions restent aussi courantes.
Lire l’article complet ici.
