Sextorsion avec mot de passe réel introuvable dans les fuites
J'ai reçu une de ces escroqueries typiques de sextorsion ("exploit au volant", filmé par webcam (la mienne a de la bande), payer des bitcoins, etc.). Le fait est qu'un ancien mot de passe est inclus (je ne me souviens même pas où je l'ai utilisé), mais la recherche du mot de passe sur HaveIBeenPwned ne renvoie rien (j'ai déjà été informé de deux fuites, Last.FM et MyFitnessPal, mais celles les comptes utilisent des mots de passe différents).
Cela m'a amené à me demander: étant donné que cela semble être un mot de passe plutôt ancien, dans quelle mesure les bases de données comme HaveIBeenPwned sont-elles complètes, et où pourrais-je signaler un tel nouvel exploit, autre que les autorités?
Bien que des services comme HaveIBeenPwned soient assez étendus, il existe encore de nombreuses listes d'utilisateurs/de mots de passe volés qui n'ont pas été révélées au public. Peut-être qu'une entreprise n'a pas divulgué ce qui s'est passé, n'a jamais réalisé que quelque chose s'est passé et/ou aucun chercheur n'a encore trouvé la liste. À moins que vous ne trouviez la liste contenant ce mot de passe quelque part, il n'y a pas de bonne option pour essayer de signaler cet incident.
Des services comme HaveIBeenPwned stockent uniquement les mots de passe qui ont été divulgués publiquement lors d'attaques. Ils n'ont aucun moyen de savoir si vous avez changé votre mot de passe depuis, et ils n'ont aucun moyen de savoir si votre mot de passe a été divulgué par d'autres moyens.
EDIT: vient de remarquer que vous recherchiez vos mots de passe là-bas. Vous pourriez avoir plus de chance en recherchant des noms d'utilisateur ou des adresses e-mail
Pour ajouter, Troy Hunt a précédemment déclaré qu'il y avait des cas où il avait reçu des informations d'identification compromises et avait décidé de NE PAS les inclure dans HIBP.
https://www.troyhunt.com/the-red-cross-blood-service-australias-largest-ever-leak-of-personal-data/
"En conséquence, j'ai proposé de supprimer définitivement la copie qui m'a été envoyée et de ne pas la charger dans HIBP. À partir de jeudi soir, c'est exactement ce que j'ai fait - en supprimant définitivement toutes les traces que j'avais. Ce n'est pas sans précédent, j'ai pris les mêmes étapes dans le cadre du nettoyage à la suite de la violation de données VTech et pour toutes les mêmes raisons, il était logique alors, il est logique maintenant. Comme avec VTech, cela devrait donner à ceux qui ont été exposés dans l'incident juste un plus de tranquillité d'esprit que leurs données ont été contenues dans toute la mesure du possible. "
En pratique, ceux de HIBPe seront déjà en circulation parmi les "méchants" depuis un certain temps, et ont déjà été exploités ou ont été déterminés à ne pas en valoir la peine.