Une entreprise qui travaille en coulisses, pour les banques et les fintechs, en fournissant des outils de vérification d’identité (« Know Your Customer », ou KYC). Son métier : s’assurer que vous êtes bien vous, avant qu’un établissement ne vous ouvre ses portes.
Le vérificateur d’identité mal vérifié
Ironie du sort, une base de données liée à ce spécialiste est restée accessible sans protection. Les chercheurs à l’origine des révélations ont découvert l’instance MongoDB le 11 novembre dernier. L’entreprise a été alertée et la base a été sécurisée dès le lendemain. À ce stade, aucune preuve ne montre que les données ont été effectivement téléchargées ou exploitées. Il ne s’agit donc pas d’un piratage confirmé, mais d’une exposition accidentelle.
Les chiffres donnent toutefois le vertige : environ un milliard d’enregistrements attribués à 26 pays, auxquels s’ajoutent deux milliards de logs techniques. Les États-Unis arrivent largement en tête avec plus de 203 millions de comptes concernés. Le Mexique (124 millions) et les Philippines (72 millions) suivent. En Europe, l’Allemagne (61 millions), l’Italie (53 millions) et la France (52 millions) figurent parmi les plus touchés.
52 millions de comptes en France, cela correspond à une large part de la population adulte. De quoi se demander quels établissements ont recours à cette société, car étant un prestataire B2B, son nom ne figure pas dans les parcours clients. On peut supposer qu’elle travaille avec de grandes banques ou services financiers présents sur le marché français, mais la liste précise des partenaires n’est pas connue.
Ce qui rend cette fuite particulièrement sensible, ce n’est pas seulement le volume, mais la nature des informations. La base contenait des données structurées : noms complets, adresses, codes postaux, dates de naissance, numéros d’identification nationale, numéros de téléphone, adresses e-mail, genre, et même des métadonnées télécoms. Certains enregistrements incluaient aussi des indicateurs liés à des « statuts de fuite » ou à des profils sociaux, dont la signification exacte reste à éclaircir.
« À cette échelle, les risques incluent la prise de contrôle de comptes, le phishing ciblé, la fraude au crédit, les échanges frauduleux de carte SIM et des atteintes à la vie privée sur le long terme », préviennent les chercheurs. Avec un numéro d’identification nationale, une date de naissance complète et un numéro de téléphone, un fraudeur dispose d’un kit presque complet pour tenter des usurpations d’identités à grande échelle.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
