MySpace piraté : 427 millions de mot de passe à vendre

1
134

Le chiffre donne le tournis : une base de données MySpace contenant les données sensibles de 427 millions de comptes utilisateurs est en vente sur le DarkNet. Les utilisateurs sont invités à changer leurs mots de passe en urgence…

Il y a comme un air de LinkedIn dans cette nouvelle fuite de données touchant le réseau social MySpace, créé en 2003 par Chris DeWolfe et Tom Anderson. Sauf que le record de comptes touchés par le piratage est largement battu. Au total, ce sont 427 millions de mots de passe qui sont présents dans cette base de données volée, et qui sont actuellement en vente sur un espace du DarkNet, par le même cybercriminel ayant frappé LinkedIn la semaine dernière : peace_of_mind.

C’est incontestablement un record de données piratées pour un réseau social ! Et même un beau record tout court puisque celui ayant touché Adobe avait culminé à 152 millions de données dérobées. Les données sont à vendre sur la place de marché du Deep Web TheRealDeal, avec les adresses mails, les noms d’utilisateur et les mots de passe. Cela représente plus de 15 Go de données en format compressé. Le prix ? 6 bitcoins, soit environ 2 900 euros au cours actuel de la crypto-monnaie.

myspace-hack

Seule inconnue, la date exacte du piratage du réseau social. Une copie du leak a été obtenue par LeakedSource (visiblement via une source anonyme provenant de exploit.im) et le site Motherboard a pu faire vérifier la réalité du piratage en communiquant des adresses de courrier électronique de certains journalistes et proches à LeakedSource afin de s’assurer qu’il ne s’agit pas d’un fake. Certains comptes ayant un second mot de passe, le total exact est poussé à 427 484 128.

Les mots de passe étaient stockés avec la fonction de hachage cryptographique SHA-1, mais sans aucun salage. Du coup, les plus faibles peuvent tous être facilement crackés…

« Les méthodes utilisées par MySpace pour stocker les mots de passe ne correspondent pas avec ce que les standards en la matière imposent », commente LeakedSource, qui ajoute qu’il s’agit d’un niveau de chiffrement « très faible ». L’algorithme SHA-1 n’est plus considéré comme sûr par de nombreux observateurs, de Google à Microsoft, en passant par Mozilla ou l’Anssi.

myspace_passwords

Un mystère demeure au sujet des 855 478 comptes possédant le même mot de passe “homelesspa“. A ce sujet, LeakedSource.com estime qu’il a été généré de façon automatique par MySpace dans un but inconnu. Peut être des faux comptes…

Le pirate ne donne aucune indication sur la provenance de ces données ni la date à laquelle le piratage aurait eu lieu. Quant à MySpace, actuellement détenue par la société Viant Inc., une régie publicitaire du groupe Time Inc, aucune réaction face à l’énorme leak, silence radio total. Côté statistiques, MySpace a enregistré en 2015 près de 50 millions de visiteurs mensuels en moyenne.

Pour savoir si vous êtes concerné par ce piratage, il suffit d’aller vérifier sur LeakedSource.com avec une recherche sur votre nom d’utilisateur ou votre adresse mail. Si c’est le cas, vous devez immédiatement changer votre mot de passe sur MySpace, ainsi que sur tous les autres sites où vous avez utilisé le même mot de passe (sinon vous courrez un grand risque de piratage).

Les commentaires sont fermés.