Les combolists Telegram ont dévoilé une violation de données stupéfiante, révélant que des millions de comptes ont été compromis.
Une collection massive de 361 millions d’adresses e-mail, provenant d’informations d’identification volées par des logiciels malveillants volant des mots de passe, lors d’attaques de credential stuffing et de violations de données, a été ajouté au service de notification de violation de données Have I Been Pwned. Cet ajout permet aux individus de vérifier si leurs comptes ont été compromis grâce à l’utilisation de listes déroulantes Telegram.
Que sont les combolists Telegram ?
Les experts en cybersécurité ont rassemblé ces informations d’identification auprès de divers canaux de cybercriminalité Telegramoù ces données volées sont fréquemment divulguées pour améliorer la réputation et le nombre d’abonnés des chaînes.
Les données divulguées consistent généralement en combinaisons de nom d’utilisateur et de mot de passe (souvent volés via des attaques de credential stuffing ou des violations de données), les noms d’utilisateur et les mots de passe ainsi que les URL associées (exfiltrés via des logiciels malveillants de vol de mots de passe) et les cookies bruts (également volés via des logiciels malveillants de vol de mots de passe).
Les chercheurs ont partagé 122 Go d’identifiants avec Troy Huntle fondateur de Have I Been Pwned, provenant de nombreuses chaînes Telegram.
D’après Huntcet ensemble de données est vaste et englobe 361 millions d’adresses e-mail uniques, dont 151 millions n’avaient jamais été vues auparavant par le service de notification des violations de données.
«Il contenait 1,7k fichiers avec 2B lignes et 361 millions d’adresses e-mail uniques, dont 151 millions n’avaient jamais été vues dans HIBP auparavant. À côté de ces adresses se trouvaient des mots de passe et, dans de nombreux cas, le site Web auquel les données se rapportent », a déclaré Hunt.
Telegram, une plateforme de messagerie largement utilisée, facilite la création de « canaux » où les utilisateurs peuvent facilement partager des informations avec les visiteurs. Décrit par Telegram comme un service simple, privé et sécurisé, il a gagné en popularité parmi ceux qui souhaitent partager du contenu de manière anonyme, y compris des informations sur les violations de données. De nombreuses violations précédemment téléchargées sur Have I Been Pwned ont été diffusées via Telegram, car il fournit un moyen simple de publier ce type de données.
Qu’est-ce qu’une liste déroulante ?
Une liste déroulante est une compilation d’adresses e-mail et de mots de passe correspondants qui ont été collectés, souvent illégalement, à partir de diverses violations de données, attaques de credential stuffing et autres activités de piratage. Ces listes sont généralement utilisées par les cybercriminels pour tenter d’accéder aux comptes en essayant ces combinaisons sur plusieurs services.
Vous trouverez ci-dessous un exemple de la façon dont les données publiées sur Telegram apparaissent généralement :
Celles-ci sont connues sous le nom de « listes combinées », qui sont des combinaisons d’adresses e-mail ou de noms d’utilisateur associées à des mots de passe. Ces combinaisons sont cruciales pour authentifier l’accès à divers services, et les attaquants les utilisent fréquemment pour mener des attaques de « credential stuffing », dans lesquelles ils tentent d’accéder en masse à plusieurs comptes à l’aide des listes. L’exemple fourni ci-dessus décompose les combinaisons selon leurs fournisseurs de services de messagerie respectifs. Par exemple, le dernier exemple de Gmail comprend plus d’un quart de million de lignes formatées comme ceci :
Ce n’est qu’un exemple parmi de nombreux fichiers répartis sur différentes chaînes Telegram. Les données qui m’ont été transmises la semaine dernière provenaient de 518 canaux différents et comprenaient 1 748 fichiers distincts similaires à celui ci-dessus. Alors que certains fichiers ne contenaient aucune donnée (0 Ko), d’autres avaient une taille de plusieurs gigaoctets et des dizaines de millions de lignes. Par exemple, le fichier le plus volumineux commence comme suit :
Cela semble être le résultat d’un logiciel malveillant voleur d’informations, qui capture les informations d’identification lorsqu’elles sont saisies sur des sites Web sur des appareils compromis. Par exemple, l’enregistrement initial semble avoir été intercepté lorsqu’un individu tentait de se connecter à Nike. Pour évaluer l’exactitude de ces données, visitez simplement la page d’accueil de Nike et cliquez sur le lien de connexion, qui affichera l’écran suivant :
En examinant l’écran de connexion, on peut déduire la validité des informations d’identification capturées, car les données correspondent au format des tentatives de connexion typiques. Cette méthode fournit un moyen simple de vérifier l’intégrité et la pertinence des informations divulguées trouvées dans les listes déroulantes Telegram.
S’agit-il d’une violation de données Telegram à laquelle nous assistons en 2024 ?
Non ce n’est pas. Telegram lui-même n’a pas été piraté. Plutôt, Telegram est utilisé comme canal par les cybercriminels pour partager et distribuer des données volées. Ces données, qui incluent les adresses e-mail et les mots de passe, proviennent de diverses sources telles que les logiciels malveillants de vol de mots de passe, les attaques de credential stuffing et d’autres violations de données. Les experts en cybersécurité ont rassemblé ces données sur de nombreux canaux Telegram pour les ajouter à Have I Been Pwned, permettant aux utilisateurs de vérifier si leurs comptes sont compromis.
Comment supprimer votre compte Telegram ?
La suppression de votre compte Telegram ne résoudra pas le problème de sécurité, car la violation concerne des données partagées sur la plateforme, et non Telegram lui-même.
Cependant, si vous souhaitez toujours supprimer votre compte Telegram, voici comment procéder :
- Ouvrez la page de désactivation de Telegram: Visite mon.telegram.org/auth depuis votre navigateur.
- Se connecter: Saisissez le numéro de téléphone associé à votre compte Telegram.
- Code de confirmation: Vous recevrez un code de confirmation via Telegram. Entrez ce code sur le site.
- Supprimer le compte: Après vous être connecté, sélectionnez l’option « Supprimer le compte » et suivez les instructions pour supprimer définitivement votre compte.
Note de l’éditeur: J’ai visité le site Have I Been Pwned et vérifié ma messagerie personnelle. À ma grande surprise, il s’est avéré que mon courrier électronique était également compromis.
Vous pouvez voir le résultat dans l’image ci-dessous :
Crédit image en vedette : Kerem Gülen/Milieu du voyage
