La violation de données d'Extreme pourrait concerner plus de 2 milliards de personnes

Le 6 août 2024, l'un des plus grands ensembles de données personnelles jamais divulguées a été diffusé sur un forum du dark web appelé Breachforums, que tout le monde peut télécharger et utiliser gratuitement. Quelque 2,7 milliards d'enregistrements étaient contenus dans le fichier, posté par un utilisateur sous le nom de Fenice. Ces dossiers contiennent des informations personnelles essentielles, telles que des adresses, des dates de naissance et des numéros de sécurité sociale, entre autres. La brèche affecterait des personnes aux États-Unis, au Royaume-Uni et au Canada.

L'ensemble des données a été mis en vente en avril 2024 par l'utilisateur USDoD, un compte qui aurait des liens avec un groupe de cybercriminels réseau de cybercriminalité de cybercriminalité. Les données étaient mises en vente au prix de 3,5 millions de dollars, mais elles n'ont pas suscité d'intérêt dans un premier temps. Rapidement, des utilisateurs ont commencé à publier gratuitement des morceaux du jeu de données, ce qui a conduit le Fenice à divulguer l'intégralité du fichier. En même temps que le fichier, Fenice a prétendu que l'USDoD n'était pas responsable de la violation initiale et que celle-ci avait été perpétrée par un autre utilisateur, SXUL.

Le fichier posté par le Fenice pèserait plus de 250 téraoctets et serait dans un format courant pouvant être ouvert dans Microsoft Excel, Google Sheets ou d'autres logiciels comparables. Le fichier contiendrait des informations sur une grande partie de la population de chacun des trois pays cités. Étant donné qu'il peut exister plusieurs enregistrements pour chaque personne concernée et que certaines personnes concernées ont déjà confirmé que certaines informations étaient inexactes, il est difficile de déterminer avec précision le nombre de personnes concernées.

Les données ont été recueillies par une société connue sous le nom de National Public Data (NPD). Le modèle d'entreprise de cette société consisterait à exploiter des sources de données publiques et à rassembler les résultats obtenus. Un homme de Floride a intenté une action en justice contre la société, qui est traitée comme une recours collectif par deux cabinets d'avocats de Floride et de Californie.

La plainte allègue que NPD a assumé une obligation de protection des données personnelles lorsqu'elle les a acquises et compilées, et qu'elle a manqué à cette obligation. Il est également allégué que la société a utilisé des sources non publiques, ce qui l'a conduite à être en possession de données sur des personnes qui n'ont pas consenti à ce qu'elles soient collectées. Les allégations à l'encontre de NPD comprennent la négligence, l'enrichissement sans cause et la violation de l'obligation fiduciaire.