Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Fuite de données Sina Weibo

Les données personnelles de 538 millions de comptes Sina Weibo — dont les numéros de téléphone de 172 millions d'utilisateurs — ont été mises en vente sur le dark web pour environ 250 $, dans une fuite que Weibo a attribuée à un abus de correspondance de carnet d'adresses remontant à 2018. Le ministère chinois de l'Industrie a convoqué l'entreprise au sujet de sa gestion des données personnelles.

Victime
Sina Weibo
données
538.0M
utilisateurs
538.0M
SecteurMédias
PaysChine

Le 19 mars 2020, un vendeur du dark web met en vente une base de données de 538 millions de comptes Sina Weibo — la plus grande plateforme de microblogage de Chine — pour l'équivalent d'environ 250 $. Le chiffre marquant : 172 millions de ces enregistrements contenaient les numéros de téléphone des utilisateurs, rendant le cache précieux pour le spam, le smishing et la fraude à l'identité.

Ce qui s'est passé

Les données auraient été compilées en 2018 lorsque des attaquants ont abusé d'une fonction d'import de contacts / de correspondance de carnet d'adresses. En téléversant de grandes listes de numéros de téléphone, un attaquant pouvait amener la plateforme à renvoyer le profil Weibo correspondant, construisant progressivement une cartographie des numéros de téléphone vers des comptes réels. Il s'agit d'une technique de scraping et d'enrichissement de données plutôt que d'une intrusion serveur — les bases de données de Weibo n'ont pas été compromises au sens classique.

Le vendeur a répertorié des champs incluant identifiants utilisateur Weibo, noms de compte, noms réels, sexe, localisation géographique et numéros de téléphone associés. Notamment, le dump ne contenait pas de mots de passe, ce qui limitait le risque de prise de contrôle directe de comptes mais ne réduisait guère le préjudice de l'exposition de centaines de millions de numéros de téléphone.

Impact

  • 538 millions de comptes exposés au total.
  • 172 millions de numéros de téléphone liés à des profils identifiables.
  • Le prix demandé peu élevé (~250 $) impliquait que les données pouvaient se diffuser largement et à bas coût auprès des spammeurs et fraudeurs.

Le responsable de la sécurité de Weibo de l'époque a publiquement reconnu la fuite sur les réseaux sociaux chinois, l'attribuant à l'abus de correspondance de contacts de 2018 et soulignant qu'aucun mot de passe ni information financière n'était concerné. Des critiques ont relevé qu'en Chine, les numéros de téléphone sont étroitement liés à l'identité réelle par l'enregistrement obligatoire sous nom réel, rendant l'exposition particulièrement sensible.

Réponse

Le 23 mars 2020, le ministère chinois de l'Industrie et des Technologies de l'information (MIIT) a convoqué Weibo, critiqué sa gestion des données personnelles et ordonné la remise en conformité de ses pratiques de protection des données — l'une des actions répressives précoces les plus visibles avant la future loi sur la protection des informations personnelles du pays.

Pourquoi c'est important

La fuite Weibo est un cas d'école d'abus de fonctionnalités légitimes de la plateforme — la correspondance de contacts — pour collecter des données à l'échelle d'une population, sans jamais « pirater » le back-end. Elle a préfiguré une vague de fuites similaires par énumération de numéros de téléphone touchant de grands réseaux sociaux dans le monde et a poussé les régulateurs chinois vers des règles plus strictes sur la manière dont les plateformes exposent leurs fonctions de recherche d'utilisateurs et protègent les données téléphoniques sous nom réel qu'elles sont légalement tenues de collecter.

Chronologie

  1. Selon Weibo, des attaquants abusent d'une fonction de correspondance de contacts pour associer des numéros de téléphone à des profils de comptes ; les données sous-jacentes sont collectées à ce moment-là.

  2. Les données de 538 millions de comptes Weibo, dont 172 millions de numéros de téléphone, sont mises en vente sur un forum du dark web pour environ 250 $.

  3. Des chercheurs en sécurité et les médias rapportent l'annonce ; Weibo confirme une fuite mais nie l'exposition de mots de passe ou de données financières sensibles.

  4. Le ministère chinois de l'Industrie et des Technologies de l'information (MIIT) convoque Weibo et lui ordonne de rectifier ses pratiques de protection des données.

Sources

  1. securityaffairs.comhttps://securityaffairs.com/100243/data-breach/weibo-data-dark-web.html
  2. cpomagazine.comhttps://www.cpomagazine.com/cyber-security/data-of-538-million-weibo-users-is-available-on-the-dark-web-for-only-250/
  3. yicaiglobal.comhttps://www.yicaiglobal.com/news/china-it-ministry-takes-sina-weibo-to-task-over-538-million-user-data-leak
  4. business-humanrights.orghttps://www.business-humanrights.org/en/latest-news/china-weibo-admits-to-leak-of-personal-data-on-millions-of-users/

Incidents liés

Fuite de donnéesRésolu

Fuite de données NetEase (2015)

En octobre 2015, un jeu de données attribué au fournisseur de messagerie chinois NetEase (163.com et 126.com) a fait surface, exposant prétendument environ 234 millions d'adresses e-mail et de mots de passe en clair. NetEase a nié toute fuite ; HIBP classe l'incident comme non vérifié.

Victim
NetEase
Records
234.8M
Fuite de donnéesRésolu

Fuite de données Tianya (2011)

En décembre 2011, le plus grand forum en ligne de Chine connu sous le nom de Tianya a été piraté et des dizaines de millions de comptes ont été obtenus par l'attaquant. Les données divulguées comprenaient des noms, des noms d'utilisateur et des adresses e-mail.

Victim
Tianya
Records
29.0M
Fuite de donnéesRésolu

Fuite de données Roblox Developer Conference (2023) (2020)

En juillet 2023, une liste de présumés participants aux Roblox Developers Conferences de 2017 à 2020 a circulé sur un forum. Les données contenaient 4 000 adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des dates de naissance, des numéros de téléphone, des adresses physiques et IP et des tailles de T-shirt

Victim
Roblox Developer Conference (2023)
Records
3.9K