Piratage du site de streaming pour adultes CAM4 : 7 To de données avec 11 milliards d’enregistrements

0
265

Début mai, il a été rapporté que le site de streaming pour adultes CAM4 a été piraté et a mener à une fuite de 7 téraoctets de données contenant 10,88 milliards d’enregistrements. Parmi elles, des données sensibles sont présentes, dont une part non négligeable concernant des français.

Propriété de Granity Entertainment en Irlande, le site CAM4 offre un divertissement pour adultes grâce à des lives webcam en direct. Bien que l’inscription soit facultative, certains services ne sont offerts qu’à ceux qui ont un compte sur le site et qui acceptent de payer via carte bancaire. Cependant, les chercheurs en sécurité informatique de Safety Detectives ont découvert que la base de données CAM4 était exposée en accès public sans aucune authentification de sécurité sur un serveur Elasticsearch mal configuré.

Dans une analyse, les chercheurs ont révélé que la base de données avait divulgué 11 milliards d’enregistrements avec 11 millions d’adresses e-mail et 26,3 millions de hachages de mots de passe.

Capture par Safety Detectives


Les autres données comprenaient les journaux de production de l’entreprise datant du 16 mars 2020, des informations personnellement identifiables comme les noms complets, les noms d’utilisateur, le sexe, le pays, les adresses IP, les conversations, les journaux de spam et de fraude, et les journaux de paiement, y compris le type de carte de crédit, etc.

La disponibilité de journaux de détection de fraude permet aux pirates de mieux comprendre comment les systèmes de cybersécurité ont été mis en place et pourraient être utilisés comme un outil de vérification idéal pour les pirates malveillants, ainsi que pour permettre un plus grand niveau de pénétration du serveur“, ont écrit des chercheurs dans un blog.

D’un autre côté, les utilisateurs les plus touchés provenaient du Brésil, de l’Italie, de la France et des États-Unis, tandis que la plupart des adresses mail étaient basées sur Gmail, Hotmail et iCloud.

Bien qu’il ne soit pas clair si les données appartenaient à des clients ou à des créateurs de contenu, le fait que CAM4 avait sa base de données exposée au public suffit à imaginer les dommages à venir au cas où un tiers avec une intention malveillante mettrait la main dessus. De plus, cela expose également les clients et les créateurs de contenu au risque de chantage, de vol d’identité et d’escroquerie par extorsion (voir plus précisément par “sextorsion” dans le cas présent).

Les cybercriminels pouvaient également divulguer les données sur les forums de cybercriminels ou les marchés du dark web, comme cela a été fait récemment lorsque les détails personnels et les numéros de téléphone de 42 millions d’Iraniens ont été exposés sur un serveur Elasticsearch et se sont retrouvés sur le dark web et le forum des hackers à vendre en quelques jours.

Bref, si vous êtes enregistrés sur CAM4, changez votre mot de passe et contactez la société au sujet de la violation. Pour votre information, la base de données contenant des informations sur les utilisateurs européens, CAM4 devrait donc s’attendre à une lourde amende liée au RGPD…