Vous avez frémi à l’annonce des fuites de données de SFR ? Serré les fesses à celle du piratage de Free ? Êtes passé au vélo lors du hack de Volkswagen ? Tremblez maintenant : ce n’est pas une marque bien particulière dont les données ont été siphonnées par un groupe de pirates russes... mais carrément un grossiste de la donnée en ligne, spécialisé dans la géolocalisation !
Hackers claim to have breached Gravy Analytics, a US location data broker selling to government agencies.
— Baptiste Robert (@fs0c131y) January 8, 2025
They shared 3 samples on a Russian forum, exposing millions of location points across the US, Russia, and Europe.
It's OSINT time! 👇 pic.twitter.com/sVlEEgEFcF
Comme le relatent nos confrères de Numérama, Gravy Analytics et sa filiale Venntel sont spécialisés dans l’agrégation de données, et plus particulièrement la géolocalisation. Pour ce faire, ils prennent des sources chez les grandes entreprises comme Apple ou certains opérateurs téléphoniques, chez des centaines de développeurs d'apps, mais aussi chez les institutions publiques, pour agréger le tout et revendre le fichier à qui en fait la demande.
Le souci, c’est que non seulement ces données sont particulièrement intrusives, concernant la localisation des clients, mais même si celles-ci ne sont pas directement liées à un nom et un prénom, il reste très facile de faire des liens entre les différentes données récupérées.
Un « hacker éthique » s’est ainsi amusé à faire quelques croisements, et est facilement arrivé à des points correspondant à des points sensibles comme la Maison Blanche, le Kremlin, ou encore diverses bases militaires. De quoi savoir qui y va et avec quelques autres infos avoir le nom et le prénom de la personne, ainsi que ses habitudes.
Additional notes:
— Baptiste Robert (@fs0c131y) January 8, 2025
👉 The total size of the sample is 1.4 GB, containing 30,449,271 locations
👉 Based on the hacker’s claim of having 10 TB of history, the entire dataset would likely contain approximately 217,494,792,857 locations. 🤪
L’échantillon divulgué fait 1,4 Go, et contient déjà 30,5 millions de points, provenant de 3455 apps différentes. Les hackers russes annoncent avoir en stock un fichier de 10 To, ce qui pourrait facilement correspondre à plus de 217 milliards de localisations précises.
Si les malandrins annoncent demander (bien entendu) de l’argent, ils signalent aussi que si leurs exigences ne sont pas satisfaites, ils lâcheront le fichier complet dans la nature.
Que faire à notre niveau ? Concernant cette fuite, pas grand chose. Mais concernant la suite, un petit rappel ne fait pas de mal : autant on ne peut pas contrôler totalement ce que le fabricant de l’appareil ou de l’OS fait avec nos données, autant limiter leur fuite à travers des apps tierces est facile : qu’une app de cartographie demande votre position paraît logique, mais si un jeu en ligne la demande, réfléchir à deux fois avant de l’autoriser paraît évident...
