Une grande partie des informations publiées devrait être découverte grâce à des recherches détaillées, sans qu’il soit nécessaire de recourir à une attaque ciblée. Dans d’autres cas, il aurait pu être possible de se connecter à des comptes d’autres services à l’aide de mots de passe connus – car de nombreux utilisateurs n’utilisent encore, par négligence, qu’un seul mot de passe pour de nombreux services différents.

Le doxing : c’est quoi?

En l’état actuel des connaissances, on peut supposer qu’un YouTuber politiquement orienté à droite a recueilli les données et les a mises sur le net. Au cours de ce processus, des données telles que les numéros de téléphone et les adresses électroniques ont été en partie compilées à partir de fuites déjà connues. Avec d’autres informations, l’auteur a vraisemblablement pu accéder à des comptes de courrier électronique ou de médias sociaux par des mots de passe multiples ou non sécurisés et ainsi pêcher des données. Il est évident que, selon les informations disponibles à ce jour, l’AfD est le seul parti représenté au Bundestag qui n’est pas concerné par ces publications. Ce qui est clair, c’est qu’il ne s’agit pas d’une nouvelle attaque réussie de pirates informatiques sur le réseau du Bundestag lui-même.

Il s’agit donc d’un doxing ciblé des personnes concernées. Le Doxing est la publication d’informations privées contre la volonté des personnes concernées. Outre l’adresse postale, il peut s’agir de numéros de téléphone ou d’informations sur les enfants, de numéros de cartes de crédit ou de copies de cartes d’identité. Le risque d’abus de ces informations est élevé.

Cependant, les informations disponibles à ce jour suggèrent qu’il ne s’agit pas d’une “attaque de hacker” classique par un acteur étatique. Selon G DATA, la diffusion d’informations via un compte Twitter détourné semble particulièrement improbable pour une campagne ciblée – en fait, presque personne n’a remarqué les informations publiées pendant un mois environ. Entre-temps, la police a arrêté un jeune homme de 20 ans qui est un suspect principal. Il vivrait chez ses parents et aurait déjà avoué le crime.

Un youtuber portant le pseudonyme 0rbit met en ligne depuis des semaines les données privées de politiciens, de célébrités et d’autres notables de youtube. On ne sait toujours pas exactement comment l’auteur a mis la main sur ces données et pour quelle raison elles ont été publiées. Outre les hommes politiques de presque tous les partis parlementaires, le Chancelier, des satiristes comme Jan Böhmermann et des stars de YouTube comme Unge sont concernés.

Des conseils pour vous  aider à vous protéger contre le doxing et l’espionnage de données non désirées

1) Authentification à deux facteurs :

La connexion avec un mot de passe uniquement n’est plus appropriée aujourd’hui. En effet, les mots de passe soi-disant secrets se perdent souvent avec des fournisseurs négligents ou mal sécurisés. Par exemple, des millions de mots de passe provenant du piratage de la boîte de dépôt circuleront encore librement sur l’internet en 2012. Toute personne ayant utilisé son mot de passe plus d’une fois ou ne l’ayant pas modifié depuis lors court un risque. Avec l’authentification à deux facteurs, un code provenant d’une application pour smartphone qui n’est valable que pour une courte durée doit être saisi en plus du mot de passe, ou une clé spéciale doit être connectée à l’ordinateur.

2) Rechercher les mots de passe perdus :

Divers services aident à trouver les fuites de données. Les fournisseurs comme HaveIBeenPwned ou le Contrôleur de fuite d’identité montrent si un compte a été affecté par des problèmes de sécurité dans le passé. Si vous utilisez le navigateur Firefox, vous pouvez désormais être également informé des problèmes.

3) Effectuez régulièrement une recherche sur Google à votre propre nom :

Cela peut répondre aux questions suivantes : Quelles informations puis-je trouver à mon sujet sur le web ? Cette information est-elle correcte ? Est-il possible de consulter des informations qui devraient être privées ?

4) Utiliser les droits de la DSGVO :

Si les fournisseurs publient des informations incorrectes ou obsolètes, il existe, dans certaines circonstances, un droit de suppression ou de correction des données. Ces droits découlent du règlement de base de l’UE sur la protection des données.

5) Désactiver les cookies de tiers :

Les cookies sont un outil utile sur le web, par exemple pour enregistrer les paramètres d’une page web, comme la taille de la police utilisée. Cela augmente la commodité. Mais les cookies de tiers, par exemple de réseaux publicitaires, peuvent recueillir beaucoup d’informations sur l’utilisateur – par exemple, sur les sites web visités ou sur des intérêts spécifiques. De nombreux sites web proposent désormais d’adapter en détail la réglementation sur les cookies. Il est également possible de supprimer régulièrement les cookies – tous les navigateurs offrent des fonctions appropriées à cet effet.

6) Vérifier les autorisations de l’application :

Les applications sur les smartphones veulent souvent avoir des droits très étendus. Là aussi, il est souvent pratique de simplement accorder ces droits. Si vous téléchargez votre carnet d’adresses sur Whatsapp, vous pouvez facilement identifier tous vos amis qui s’y trouvent également. En termes de droit de la protection des données, cependant, cette pratique est pour le moins controversée.Il vaut donc la peine d’y regarder de plus près lors de la mise en place de nouvelles applications. L’application lampe de poche doit-elle vraiment avoir accès à mon emplacement ? Et devrais-je vraiment télécharger mon carnet d’adresses dans l’application de transport public pour pouvoir entrer les adresses plus facilement ? La solution mobile Internet Security Android de G DATA permet de gérer les autorisations des applications et de se protéger contre les logiciels malveillants. Sur le PC, la solution anti-virus G DATA assure la sécurité et empêche les fuites de données indésirables.

7) Attention aux courriels :

De nombreux utilisateurs ont désormais intégré le fait qu’aucune pièce jointe provenant d’un expéditeur inconnu ne doit être ouverte. Mais d’autres dangers se cachent dans les courriers électroniques : Les attaquants peuvent cacher du code malveillant ou des pixels de traçage dans les courriels HTML, par exemple. Les deux peuvent être utilisés pour tirer des conclusions sur les utilisateurs. Il en va de même pour les images intégrées. Le meilleur réglage consiste donc à envoyer et à recevoir des courriels en format texte uniquement et à désactiver le rechargement automatique des images.