Des sites de rencontres victimes d'une fuite de données très privées

 
Le 25 mai, les chercheurs de vpnMentor ont découvert 3 serveurs (précisément trois compartiments S3 d’Amazon Web Services) dévoilant des informations hautement sensibles provenant de plusieurs applications et sites de rencontres.
Selon un rapport publié le 16 juin, les compartiments S3 contenaient 845 gigaoctets de données, avec plus de 20 millions de fichiers contenant des données privées provenant de comptes d’utilisateurs, dont :
• Images et photos
• Noms d’utilisateur, données personnelles et données financières
• Messages vocaux et enregistrements audio
• Chats privés entre utilisateurs
• Reçus de transactions financières
L’ensemble comprend un éventail de sites de rencontres spécialisés telles que 3somes, CougarD, Xpal, SugarD, GHunt et bien d’autres. De plus, outre l’afflux d’informations personnelles et très sensibles sur les utilisateurs, les bases de données mal configurées ont également exposé l’infrastructure des applications via des informations d’identification et des mots de passe administrateur non sécurisés.
 

“Pour des raisons éthiques, nous ne consultons ni ne téléchargeons jamais tous les fichiers stockés sur une base de données ou un compartiment AWS ayant fait l’objet d’une violation. En conséquence, il est difficile de calculer le nombre de personnes exposées à cette violation de données, mais nous estimons qu’il s’agissait d’au moins 100 000, voire des millions », ont déclaré les chercheurs. “En tant que hackers éthiques, nous sommes tenus d’informer une entreprise lorsque nous découvrons des failles dans leur sécurité en ligne. Nous avons contacté les développeurs, non seulement pour les informer de la vulnérabilité, mais aussi pour proposer des moyens de sécuriser leur système.”

 
La fuite de données pourrait avoir des effets dévastateurs pour les utilisateurs. Les cybercriminels peuvent exploiter les précieuses données sensibles pour diverses formes d’extorsion et d’intimidation, qui pourraient potentiellement se transformer en un scandale de type AshleyMadison. Pour rappel, ce type de rencontres prônant l’adultère a fait la une durant l’été 2015, quand des hackers sont parvenus à récupérer la liste des clients du site ainsi que leurs données personnelles — dont leurs noms, adresses, photos privées, fantasmes sexuels et numéros de cartes de crédit — et menaçaient d’humilier les dirigeants du site et certains clients. Plus de 30 millions d’utilisateurs ont été exposés à la suite de cette violation de données et des menaces de chantage ont refait surface depuis.
Entre les mains de pirates chevronnés, ces données peuvent être utilisées pour plus que des escroqueries de catfishing (se faire passer pour quelqu’un d’autre, grâce à des données personnelles dérobées). En utilisant la variété des informations comme monnaie d’échange, les maîtres chanteurs peuvent démarrer une entreprise rentable. Personne ne veut que son jardin secret soit dévoilé sur le net, que ce soit sur les réseaux sociaux ou à sa famille et ses amis.
 

“Avec autant d’utilisateurs de chaque application exposés à la violation de données, les criminels n’auraient qu’à convaincre un petit nombre de personnes de les payer pour qu’un programme de chantage et d’extorsion réussisse”, ont averti les chercheurs. «Ce faisant, ils pourraient nuire aux relations et à la vie personnelle et professionnelle de nombreuses personnes.”