Le site de rencontre en ligne Cupid Media a été victime d’une intrusion ayant exposé plus de 42 millions de comptes utilisateurs, y compris les noms, adresses mails, mots de passe non chiffrés ainsi que les dates d’anniversaires. Un bien triste record de négligence !
Les données volées depuis les bases de données du site Cupid Media ont été retrouvées sur le même serveur où les dizaines de millions de données compromises de Adobe, PR Newswire et le National White Collar Crime Center (NW3C) ont été stockées.
La base de données dérobée suite à un piratage du site contient plus de 42 millions d’entrées dans le format SQL. D’après Andrew Bolton, le directeur général de la société, la violation daterait de janvier 2013…
“En janvier, nous avons détecté une activité suspecte sur notre réseau et sur la base des informations que nous disposions à l’époque, nous avons pris ce que nous croyions être les mesures appropriées pour informer les clients concernés et de réinitialisation des mots de passe pour un groupe particulier de comptes d’utilisateurs,” a déclaré Bolton. “Nous sommes actuellement dans le processus de contrôle des comptes affectés, ils ont tous vus leurs mots de passe réinitialisés et ont reçu un email de notification“.
A noter qu’aucune trace de cette violation de sécurité n’a été mise en ligne, introuvable via les moteurs de recherche. Le pire dans tout ça ? Les mots de passe utilisateurs étaient stockés en clair ! Bolton a bien tenté de se défendre en avançant que les comptes touchés étaient pour la plupart inactifs ou supprimés mais on peut en douter… surtout vu le nombre phénoménal touché.
“Le nombre de membres actifs affectés par cet événement est considérablement inférieur aux 42 millions cités“, a déclaré Bolton.
De nombreuses entreprises ont l’habitude de stocker des données sur les clients qui ne sont plus actifs, comme le démontre parfaitement cet exemple. Cependant, ce n’est pas parce que les comptes sont inactifs que les informations perdent leur valeur ! En effet, les mots de passe reliés au mails peuvent être utilisés ailleurs, sur d’autres services plus importants. Et les pirates ont le champ libre pour les exploiter.
En bref, la réaction ressemble fortement à celle du géant Adobe, triste réalité : la firme affirme n’avoir que 38 millions d’utilisateurs alors que les pirates en ont volé 150 millions… Et seuls les 38 millions ont été informé, pas les autres.
Le danger suite à un tel piratage et vol de données personnelles est que beaucoup trop de gens dans le lot vont réutiliser les mêmes identifiants mails et mots de passe sur plusieurs sites, ce qui signifie qu’une multitude d’autres comptes peuvent être compromis. Les cybercriminels se retrouvent avec un accès instantané à des dizaines de milliers de boîtes mails et à tous les sites sensibles liés à l’adresse électronique d’un utilisateur. Sans parler de la valeur des adresses mails pour les spammeurs…
Espérons que la société ne stock plus les mots de passe en clair dorénavant.
D’après le chercheur en sécurité indépendant Brian Krebs, voici le top 10 des mots de passe utilisés lors de la fuite de données sur Cupid Media :
Le top 10 des mots de passe non numériques sont ci-dessous :
