La National Crime Agency du Royaume-Uni a fait don de plus de 585 millions de mots de passe au service Have I Been Pwned. Ce service permet aux utilisateurs de vérifier si leurs informations de connexion ont été divulguées en ligne.
Semblable aux mots de passe émis par le FBI, cet énorme cluster a été compté dans les données Pwned Passwords qui permettent de creuser si un mot de passe a été compromis.
Le groupe de mots de passe de la NCA provient de l’unité nationale de la cybercriminalité (NCCU) de l’agence, recueilli lors d’enquêtes sur des incidents de cybersécurité.
Selon Troy Hunt, le fondateur du service Have I Been Pwned (HIBP), une collection de 225 665 425 mots de passe était complètement nouvelle après l’importation des données envoyées par la NCA.
Selon la déclaration de Troy Hunt dans un article de blog :
Maintenant, gardez à l’esprit qu’avant l’annonce d’aujourd’hui, il y en avait déjà 613 millions dans le service Pwned Passwords en direct (et plusieurs millions d’autres dans ma copie de travail locale en attente de la prochaine version), de sorte que le corpus de la NCA représentait une augmentation significative de la taille.
La section des sites Web HIBP dans laquelle ces mots de passe sont ajoutés s’appelle Pwned Passwords. Les entreprises et les administrateurs système utilisent généralement cette section pour confirmer si leurs mots de passe actuels ont été compromis lors de piratages.
Actuellement, le cluster HIBP Pwned Passwords contient 5,5 milliards d’entrées, dont 847 millions sont distinctes. Les entreprises peuvent également télécharger ces mots de passe pour contre-vérifier leurs mots de passe par rapport à l’ensemble de données local.
Crédit d’image: Le dossier
Dans une déclaration publiée par Hunt, la NCA a déclaré avoir découvert les mots de passe compromis, associés à des comptes de messagerie, dans un compte d’une installation de stockage en nuage au Royaume-Uni.
Selon le rapport, NCA a dit à Hunt :
Grâce à l’analyse, il est devenu clair que ces informations d’identification étaient une accumulation d’ensembles de données connus et inconnus.
Les enquêteurs ont appris que les informations d’identification provenaient de nombreuses violations de données et que des tiers pouvaient y accéder "pour commettre d’autres fraudes ou cyber-infractions". Ils peuvent également commettre des attaques de rançongiciels, du phishing, etc.
Grâce au récent don de NCA, le nombre d’informations d’identification dans le service Pwned Passwords a augmenté de 38 %, pour atteindre plus de 847 millions. La version d’aujourd’hui vise uniquement à rendre les nouveaux mots de passe immédiatement disponibles gratuitement pour tous. Troy Hunt trouve ce résultat extrêmement satisfaisant car il est ouvert au public, détenu par le peuple et entièrement soutenu par le FBI et la NCA.