À une époque où de nouvelles violations de données des consommateurs sont divulguées quotidiennement, les fausses allégations concernant les fuites de données deviennent malheureusement de plus en plus courantes. Ces affirmations proviennent généralement de jeunes en quête de gloire qui aiment troller les journalistes et les entreprises, et autrement faire perdre le temps de tout le monde. Heureusement, une nouvelle analyse des récentes fausses allégations de violation fournit des outils simples que tout le monde peut utiliser pour identifier rapidement les fausses allégations de fuite de données.
Le scénario suivant se joue bien trop souvent. Les chercheurs de renommée électronique publient un faux vidage de base de données sur un site comme Pastebin et commencer à envoyer des messages aux journalistes sur Twitter et d’autres réseaux sociaux, affirmant que le dépotoir est la « preuve » qu’une entreprise en particulier a été piratée. Inévitablement, certains médias publieront des articles demandant si l’entreprise a effectivement été piratée et si le mal a été fait.
Heureusement, les entreprises, les journalistes et les gens ordinaires peuvent prendre certaines mesures de base pour tester rapidement si une fuite de données alléguée est valable, tout en réduisant les dommages injustifiés à la réputation causés par la frénésie des médias et l’inquiétude du public. Les conseils de vérification des faits proviennent d’un article de Allison Nixonun chercheur avec Deloitte qui – pendant près de deux ans – a été ma personne de référence pour examiner les réclamations pour violation de données publiques.
Selon Nixon, le moyen le plus simple de vérifier une réclamation pour fuite consiste à effectuer une simple recherche en ligne sur plusieurs de ses composants. Comme l’explique Nixon, la recherche d’artefacts d’apparence unique – tels que des mots de passe ou des adresses e-mail étranges – révèle très souvent que la fuite supposée n’est en fait guère plus qu’une fuite recyclée des mois ou des années précédentes. Bien que cela puisse sembler une astuce évidente, c’est épouvantable à combien de fois les journalistes ne franchissent même pas cette étape de base en vérifiant les faits d’une réclamation pour violation.
Un test un peu plus avancé vise à mesurer le nombre de comptes «divulgués» déjà enregistrés auprès de l’organisation supposée piratée. La plupart des services en ligne n’autorisent pas deux comptes d’utilisateurs différents à avoir la même adresse e-mail, donc tenter de créer un compte en utilisant une adresse e-mail dans les données de fuite revendiquées est un moyen efficace de tester les réclamations de fuite. Si plusieurs des adresses e-mail de la liste des fuites revendiquées ne sont pas déjà associées à des comptes sur le site Web prétendument piraté, la réclamation est presque certainement fausse.
Pour déterminer si le site de la victime présumée requiert l’unicité des e-mails pour les comptes d’utilisateurs, le test suivant devrait fonctionner : Créez deux comptes différents sur le service, chacun utilisant des adresses e-mail uniques. Ensuite, essayez de remplacer l’une des adresses e-mail du compte par les autres. Si le site interdit cette modification, aucun e-mail en double n’est autorisé et l’analyse peut se poursuivre.
Surtout, Nixon note que ces techniques démontrent seulement qu’une fuite est fausse – pas qu’un compromis s’est produit ou ne s’est pas produit. L’un des moyens les plus sournois par lesquels les vauriens produisent des allégations convaincantes de fuite de données consiste à utiliser ce qu’on appelle un « liste déroulante.” Avec les combolists, les malfaiteurs essaieront de créer des listes d’informations d’identification légitimes à partir d’un site spécifique en utilisant des listes publiques d’informations d’identification provenant de fuites précédentes sur d’autres sites.
Cette technique fonctionne car un bon pourcentage d’utilisateurs réutilisent les mots de passe sur plusieurs sites. Armés de divers programmes de vérification de compte, les chercheurs de renommée électronique peuvent rapidement créer une liste de paires d’informations d’identification fonctionnelles pour un nombre quelconque de sites et utiliser ces informations pour étayer les affirmations selon lesquelles le site a été piraté.
Mais selon Nixon, certains modèles de base apparaissent dans les listes d’informations d’identification qui sont essentiellement extraites des combolists.
« Très souvent, vous pouvez dire qu’une liste d’informations d’identification provient d’une liste combinée, car la liste ne sera rien de plus que des paires nom d’utilisateur et mot de passe, au lieu de hachages de mots de passe et de tout un tas d’autres informations de base de données », a déclaré Nixon.
Un excellent exemple de cela est venu plus tôt ce mois-ci lorsque plusieurs médias ont répété l’affirmation d’un pirate informatique qu’il avait volé une base de données de près de sept millions Boîte de dépôt identifiants de connexion. L’auteur de ce canular a affirmé qu’il publierait sur Pastebin plus d’extraits d’informations d’identification de compte Dropbox car il recevait des dons supplémentaires sur son compte Bitcoin. Dropbox mis en place plus tard un article de blog indiquant que les noms d’utilisateur et les mots de passe publiés dans cette « fuite » ont probablement été volés à d’autres services.
D’autres moyens de vérifier une fuite revendiquée impliquent des recherches plus détaillées et plus longues, telles que la recherche de l’historique en ligne du pirate informatique qui fait la réclamation.
« Si vous regardez la motivation, c’est surtout l’ego », a déclaré Nixon. «Ils veulent être un hacker célèbre. S’ils ont une poignée attachée à la revendication – un nom qu’ils ont déjà utilisé – cela me dit qu’ils veulent une réputation, mais cela signifie également que je peux vérifier leur historique pour voir s’ils ont publié de fausses fuites dans le passé. Si je vois un manifeste politique en haut d’une liste d’informations d’identification, cela me dit que la fuite suspectée concerne davantage le message et l’ego que toute sorte de divulgation de violation.
Nixon a déclaré que même si les attaquants peuvent utiliser les techniques contenues dans son article pour produire de fausses fuites de meilleure qualité, la prise de conscience fournie par le document offrira un avantage global plus important au public qu’aux seuls attaquants.
« Pour la plupart, il y a quelques fausses violations qui sont publiées encore et encore sur Pastebin », a-t-elle déclaré. « Il y a juste une tonne de bruit de fond, et je dirais que seul un infime pourcentage de ces réclamations pour violation est légitime. »
Une copie complète du rapport Deloitte est disponible ici (PDF).