Verifications IO : les données personnelles de 800 millions de personnes exposées
Un chercheur en cybersécurité a découvert un fichier de 150 Go, non-protégé par un mot de passe, contenant plus de 800 millions d’emails et de données personnelles. C’est la deuxième plus grosse faille de sécurité jamais découverte après Collection 1.
800 millions de données non protégées, non chiffrées
Bob Diachenko, chercheur en cybersécurité, a découvert la semaine dernière une base de données MongoDB dans son plus simple appareil : non protégé par un mot de passe, non chiffré, le fichier expose en texte brut quelques 800 millions d’emails et de données personnelles (âge, sexe, ville, numéro de téléphone, mais aussi données financières et comptes de réseaux sociaux liés à l’adresse mail). Ces données sont réparties dans trois documents différents :
- Emailrecords 798,171,891 entrées
- emailWithPhone 4,150,600 entrées
- businessLeads 6,217,358 entrées
Dans ses recherches, Diachenko retrouve le propriétaire de ce fichier. Il s’agit d’une compagnie de validation d’emails appelée Verifications.io. Son rôle, aider les entreprises à déterminer si une adresse mail est active et valide, afin d’optimiser l’envoi et l’ouverture de newsletters.
Un autre jour sur Internet
En combinant sa découverte avec celle de Troy Hunt, administrateur du site Have I Been Pwned et révélateur de la faille Collection 1, Diachenko est parvenu à déterminer que les données de ce fichier étaient globalement différentes à Collection 1.
Troy Hunt a par ailleurs ajouté les adresses mail de ce méga fichier à son catalogue Have I Been Pwned afin de permettre à tout un chacun de vérifier si son adresse mail était disponible dans ce document. Selon lui, environ 35% des adresses de ce fichier n’avaient jamais été répertoriées sur HIBP.
De son côté, Diachenko a envoyé un mail pour prévenir Verifications.io de l’existence de cette faille. La société s’est empressée de supprimer le fichier en ligne, tout comme son site internet, inaccessible depuis ce lundi. Malgré cela, il est impossible de déterminer si des hackers ont pu avoir accès à ce fichier avant l’alerte de Diachenko, et s’ils ont pu s’en servir. Mais en l’état, le fichier était à portée de n’importe quel hacker.
Prenez la parole dans le dossier Tendances 2026
Associez votre expertise à l'un des contenus phares de BDM !
Je participeLes meilleurs outils pour les professionnels du web
Abby
jeboostemaboite
Sage 50
Bonjour,
Et bien c’est joyeux tout ça, mes données ont été trouvées dedans et je ne sais pas qui les a mises là, donc je ne sais pas quoi changer pour me prévenir d’une mauvaise utilisation.
Mon père s’est fait piraté son adresse orange récemment et c’est la seule faille indiqué sur son adresse mail par haveibeenpwned.com. Il est du genre paranoïaque, et il n’a aucune idée de ce qu’est verification.io. Y aurait il un moyen de savoir quel entreprise ont utilisé ce service, parce qu’à ma connaissance le RGPD ne permet pas un tel laxisme.
Mon père s’est fait piraté son adresse orange récemment et c’est la seule faille indiqué sur son adresse mail par haveibeenpwned.com. Il est du genre paranoïaque, et il n’a aucune idée de ce qu’est verification.io. Y aurait il un moyen de savoir quel entreprise ont utilisé ce service, parce qu’à ma connaissance le RGPD ne permet pas un tel laxisme.
Bonjour
Mon adresse e-mail a subi même fuite des données . avant cette date j ai déjà fait
l’authentification en deux facteurs par clé USB
Est ce qu ‘il y a un risque ou pas ?
Mes coordonnées de téléphone ont été trouvée, je ne sais pas ou m’adresser quand je vérifie avec verification.io ??