Une grande partie des informations publiées doivent être découvertes grâce à une enquête détaillée, sans qu'il soit nécessaire de recourir à une attaque ciblée. Dans d'autres cas, il aurait été possible de se connecter à des comptes pour d'autres services à l'aide de mots de passe connus, car de nombreux utilisateurs utilisent encore négligemment un seul mot de passe pour de nombreux services différents.
Doxage : qu'est-ce que c'est?
Sur la base des connaissances actuelles, on peut supposer qu'un YouTuber politiquement de droite a collecté les données et les a mises sur le réseau. Au cours de ce processus, des données telles que les numéros de téléphone et les adresses e-mail ont été partiellement compilées à partir de fuites précédemment connues. Avec d'autres informations, l'agresseur a vraisemblablement pu accéder à des comptes de messagerie ou de médias sociaux via des mots de passe multiples ou non sécurisés et ainsi récupérer des données. Il est clair que, sur la base des informations disponibles à ce jour, l'AfD est le seul parti représenté au Bundestag qui n'est pas concerné par ces publications. Ce qui est clair, c'est qu'il ne s'agit pas d'une nouvelle attaque réussie de pirates sur le propre réseau du Bundestag.
Il s'agit donc d'un doxing dirigé contre les personnes en question. Le doxing est la publication d'informations privées contre la volonté des personnes concernées. En plus de l'adresse postale, cela peut inclure des numéros de téléphone ou des informations sur les enfants, des numéros de carte de crédit ou des copies de documents d'identité. Le risque d'utilisation abusive de ces informations est élevé.
Cependant, les informations disponibles à ce jour suggèrent qu'il ne s'agit pas d'une "attaque pirate" classique par un acteur étatique. Selon G DATA, publier des informations via un compte Twitter détourné semble particulièrement improbable pour une campagne ciblée ; en fait, presque personne n'a remarqué les informations publiées pendant environ un mois. Pendant ce temps, la police a arrêté un homme de 20 ans qui est le principal suspect. Il vivrait avec ses parents et aurait déjà avoué le crime.
Un youtuber avec le pseudonyme 0rbit publie depuis des semaines les données privées d'hommes politiques, de célébrités et d'autres personnalités de YouTube. On ne sait toujours pas exactement comment l'auteur s'est procuré ces données et pourquoi elles ont été publiées. En plus des politiciens de presque tous les partis parlementaires, la chancelière, des satiristes comme Jan Böhmermann et des stars de YouTube comme Unge sont touchés.
Conseils pour vous protéger contre le doxing et l'espionnage de données indésirables
1) Authentification à deux facteurs :
Se connecter avec juste un mot de passe n'est plus approprié aujourd'hui. En effet, les mots de passe dits secrets sont souvent perdus chez des prestataires négligents ou mal protégés. Par exemple, des millions de mots de passe issus du piratage de Dropbox circuleront encore librement sur Internet en 2012. Quiconque a utilisé son mot de passe plus d'une fois ou ne l'a pas changé depuis est à risque. Avec l'authentification à deux facteurs, en plus du mot de passe, un code d'une application pour smartphone qui n'est valable que pour une courte période doit être saisi ou une clé spéciale doit être connectée à l'ordinateur.
2) Retrouver les mots de passe perdus :
Divers services aident à trouver des fuites de données. Des fournisseurs comme HaveIBeenPwned ou Identity Leak Checker indiquent si un compte a été affecté par des problèmes de sécurité dans le passé. Si vous utilisez le navigateur Firefox, vous pouvez désormais également recevoir des notifications de problèmes.
3) Effectuez une recherche régulière sur Google pour votre propre nom :
Cela peut répondre aux questions suivantes : Quelles informations puis-je trouver sur moi-même sur le web? Ces informations sont-elles correctes ? Est-il possible de voir des informations qui devraient être privées ?
4) Utilisez les droits DSGVO :
Si les fournisseurs publient des informations incorrectes ou obsolètes, il existe, dans certaines circonstances, un droit de suppression ou de correction des données. Ces droits découlent du règlement de base de l'UE sur la protection des données.
5) Désactiver les cookies tiers :
Les cookies sont un outil utile sur le Web, par exemple pour enregistrer les paramètres d'une page Web, tels que la taille de la police utilisée. Cela augmente le confort. Mais les cookies tiers, par exemple des réseaux publicitaires, peuvent collecter de nombreuses informations sur l'utilisateur, par exemple sur les sites Web visités ou sur des intérêts spécifiques. De nombreux sites Web proposent désormais d'adapter en détail la réglementation relative aux cookies. Il est également possible de supprimer régulièrement les cookies ; tous les navigateurs offrent des fonctions appropriées pour cela.
6) Vérifiez les autorisations de l'application :
Les applications sur les smartphones veulent souvent avoir des droits très larges. Encore une fois, il est souvent pratique de simplement accorder ces droits. Si vous téléchargez votre carnet d'adresses sur Whatsapp, vous pouvez également identifier facilement tous vos amis qui s'y trouvent. Cependant, en termes de loi sur la protection des données, cette pratique est controversée, il vaut donc la peine d'y regarder de plus près lors de la configuration de nouvelles applications. L'application lampe de poche a-t-elle vraiment besoin d'accéder à ma position ? Et dois-je vraiment télécharger mon carnet d'adresses dans l'application de transport en commun afin de pouvoir saisir plus facilement des adresses ? La solution de sécurité Internet mobile Android de G DATA gère les autorisations des applications et protège contre les logiciels malveillants. Sur PC, la solution antivirus G DATA assure la sécurité et évite les fuites de données indésirables.
7) Méfiez-vous des e-mails :
De nombreux utilisateurs ont maintenant intégré le fait que les pièces jointes d'un expéditeur inconnu ne doivent pas être ouvertes. Mais d'autres dangers se cachent dans les e-mails : les attaquants peuvent cacher du code malveillant ou des pixels de suivi dans les e-mails HTML, par exemple. Les deux peuvent être utilisés pour tirer des conclusions sur les utilisateurs. Il en va de même pour les images intégrées. Par conséquent, le meilleur réglage consiste à envoyer et recevoir des e-mails uniquement au format texte et à désactiver le rechargement automatique des images.
