Phishing : des milliers de mots de passe volés apparaissent en clair sur Google

Une campagne de phishing a révélé publiquement des milliers de mots de passe volés à des entreprises des secteurs de la construction et de l'énergie. Les hackers ont utilisé des sites WordPress pour héberger les données subtilisées. Celles-ci se sont alors retrouvées indexées par Google, les rendant donc accessibles par n'importe qui.

hacking
Crédits : Pixabay

Alors que Google détecte plus de 18 millions de malware et mails de phishing par jour, il peut arriver que la plateforme indexe elle-même des fichiers comprenant des données volées. C'est en effet ce qu'il s'est passé après une campagne de phishing massive, dont plusieurs entreprises des secteurs de la construction et de l'énergie ont été victimes. Les données volées ont été rendues publiques, et donc disponibles par n'importe qui via une simple requête sur le moteur de recherche.

Pour envoyer leur mail frauduleux, les hackers ont utilisé un serveur Linux hébergé sur Microsoft Azure ainsi que des adresses mail piratées pour étouffer les suspicions. Un fichier HTML était joint dans le message, dans lequel était inclus un code Javascript. C'est ce dernier qui récupérait les informations de la victime, avant de la renvoyer vers une page de connexion classique. “Bien que cette attaque peut paraître simple, elle a réussi […] à voler les identifiants de plus d'un millier d'employés”, souligne Check Point, qui a révélé l'affaire.

Des hackers rendent publics des milliers de mots de passe volés

Les données ainsi subtilisées ont été stockées au sein d'un réseau de sites créés grâce à WordPress. Les hackers ont utilisé les noms de domaine de ces derniers pour traiter et conserver les identifiants. Un fichier était alors créé, devenu nécessairement public de par la nature du serveur utilisé qui, selon Check Point, resterait en ligne pendant deux mois. À partir d'une simple recherche Google, il est donc possible de retrouver les mots de passe volés.

À lire également : “Votre pénis m’appartient” – un hacker verrouille des ceintures de chasteté pour extorquer de l’argent

“Les attaquants préfèrent généralement utiliser des serveurs compromis au lieu de leur propre infrastructure en raison de la réputation reconnue des sites existants”, explique Check Point.  “Plus une réputation est reconnue, plus il y a de chances que le mail ne soit pas bloqué par les fournisseurs de sécurité”. La société indique avoir prévenu Google de l'affaire, sans préciser si les données en question ont été retirées du moteur de recherche.

Source : Check Point


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Pas besoin de Steam Machine, des PC gaming débarquent avec SteamOS préinstallé

Face à la déception engendrée par la Steam Machine, des fabricants proposent des alternatives de PC gaming déjà montés et avec SteamOS préinstallé. Après des mois d’attente, Valve a enfin…

Après les smartphones pliables, Samsung va lancer des smartphones à écran coulissant

Samsung pourrait sortir sur le marché un modèle de smartphone enroulable en 2028. Jusqu’ici, seuls des prototypes non commercialisés ont vu le jour. Samsung est en train de mettre au…

PayPal lance le paiement fractionné en 6, 12 et 24 fois en France

PayPal n’offrait jusqu’ici que le paiement fractionné en 4 fois en France, la plateforme propose désormais l’étalement sur 6, 12 et 24 fois. Des frais sont par contre à prévoir….

AliExpress dévoile une avalanche de promotions avec de nouveaux codes, les prix cassés sont au rendez-vous

Les opérations promotionnelles reprennent chez AliExpress. En parallèle des soldes, la plateforme casse le prix de nombreux produits high-tech avec des remises immédiates auxquelles s’ajoutent des codes promo cumulables. Smartphones,…

Nouveautés Netflix juillet 2026 : les séries et films à regarder

Chaque mois nous vous proposons de faire le point sur les séries et films proposés par Netflix. Nouveautés, documentaires, nous vous proposons également un top 3 des séries et des films à suivre. Prêts ? Bingez !

Spider-Man Brand New Day : histoire, casting, date de sortie, tout ce qu’on sait sur le prochain Marvel avec Tom Holland

Tom Holland revient en 2026 dans la peau de l’Homme-Araignée pour une nouvelle aventure. Date de sortie, casting, scénario, on vous dit ce qu’il faut savoir sur Spider-Man Brand New…

Test JBL Live Flex 4 : la nouvelle alternative séduisante aux Galaxy Buds4 et aux AirPods 4

Alors que Samsung et Apple misent sur des écouteurs semi-ouverts aux fonctions exclusives à leur écosystème maison, JBL vient proposer une alternative plutôt séduisante : les JBL Live Flex 4.  Conçus…

Crise de la RAM : une plainte collective accuse les fabricants de mémoire d’avoir délibérément fait exploser les prix

Trop, c’est trop : face à la montée sans précédent des prix de la mémoire, un groupe de consommateurs et de professionnels ont décidé de s’allier pour porter plainte contre…

Xiaomi préparerait une supercar électrique, les photos de ce coupé camouflé à l’aileron géant ne mentent pas

Une Xiaomi inconnue vient d’être surprise en plein test sur une autoroute chinoise. Son camouflage intégral et son aileron démesuré trahissent une supercar électrique hors norme. Jamais la marque ne…

On connait la date de lancement de l’iPhone 18 Pro et de l’iPhone pliable

La traditionnelle keynote de rentrée d’Apple est datée. L’événement sera particulier cette année. L’iPhone 18 y sera absent, seuls les modèles Pro seront présentés. Et pour la première fois, un…