Et il récidive aujourd’hui en révélant au site databreaches.net avoir découvert une base de données en ligne contenant les informations personnelles de plus de 190 millions d’électeurs américains. La base de données est accessible en ligne, sans demander d’authentification de la part des utilisateurs qui souhaiteraient s’y connecter, et contient des données personnelles telles que les adresses, numéros de téléphone, dates de naissance ainsi que leurs orientations politiques et les élections auxquelles ils ont voté depuis le début des années 2000.
La collecte de ces informations n’est pas illégale aux États unis, certaines sociétés ont d’ailleurs établi leur business model sur la collecte et la vente d’informations à destination des hommes politiques qui souhaitent optimiser leurs campagnes.
Les données contenues dans cette base de données ne sont donc pas supposées être particulièrement secrètes, mais comme le remarque Chris Vickery, leur concentration dans une seule base accessible à tous pourrait en revanche poser problème. Un cybercriminel cherchant à mettre en place une campagne de spam ou de phishing pourrait ainsi facilement exploiter ces informations pour appuyer son opération.
Un coup classique de MongoDB ?
Mais pour l’instant, personne ne semble vouloir endosser la responsabilité d’avoir laissé une telle base de données librement accessible au grand public. Les médias locaux ont contacté plusieurs entreprises susceptibles de posséder une base de données de ce type, mais aucune d’entre elles n’a reconnu être en possession du fichier en question.
Outre la curiosité naturelle, retrouver le possesseur de la base de données permettrait notamment de résoudre le problème de configuration qui rend celle-ci accessible. À l’heure de la publication des premiers articles sur Databreaches.net, Chris Vickery confiait en effet que celle-ci était toujours en ligne et donc toujours accessible pour des utilisateurs qui savaient où chercher.
Peu d'informations ont été révélées par le chercheur sur les détails techniques de la base de donnée, mais on ne peut s’empêcher de penser à un problème fréquent rencontré par les bases de données MongoDB. Lorsque celles ci sont mal configurées, elles se révèlent facilement accessibles par un internaute lambda : c’était dejà l'origine de la fuite recouverte par Chris Vickery chez Hello Kitty, et cette faille a fait plusieurs victimes au cours de l'année 2015.